Persönlichkeitsprofile in der DS-GVO: Zulässigkeit und deliktische Haftung [1 ed.] 9783428587520, 9783428187522

Citation preview

Internetrecht und Digitale Gesellschaft Band 45

Persönlichkeitsprofile in der DS-GVO Zulässigkeit und deliktische Haftung

Von

Erik Brüggemann

Duncker & Humblot · Berlin

ERIK BRÜGGEMANN

Persönlichkeitsprofile in der DS-GVO

Internetrecht und Digitale Gesellschaft Herausgegeben von

Dirk Heckmann

Band 45

Persönlichkeitsprofile in der DS-GVO Zulässigkeit und deliktische Haftung

Von

Erik Brüggemann

Duncker & Humblot · Berlin

Der Fachbereich Rechtswissenschaften der Philipps-Universität Marburg hat diese Arbeit im Jahr 2022 als Dissertation angenommen.

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Alle Rechte vorbehalten

© 2023 Duncker & Humblot GmbH, Berlin Satz: L101 Mediengestaltung, Fürstenwalde Druck: CPI books GmbH, Leck Printed in Germany ISSN 2363-5479 ISBN 978-3-428-18752-2 (Print) ISBN 978-3-428-58752-0 (E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706 Internet: http://www.duncker-humblot.de

Für Hans

Vorwort Was sagt das Gesetz? Eine Antwort fällt nicht immer leicht. Es ergeben sich nur neue Fragen: Liegt die Antwort in der Wiederholung seiner Worte? Liegt sie in der Bestimmung dessen, was recht und gerecht ist? Dem Willen des Gesetzgebers? Was möchte überhaupt die Bevölkerung? Den Schutz der Grundrechte? Freiheit, Sicherheit oder wirtschaftlichen Erfolg? Wo wir schon dabei sind, in welcher Gesellschaft möchten wir eigentlich leben? Die Rechtswissenschaft ist der aufregende Versuch, Fragen wie die obigen zu beantworten. Sie führt Antwortsuchende in Bibliotheken, auf Datenbanken und zu Personen, die sie bei der Suche unterstützen. In meinem Falle war das zuvorderst Frau Prof. Dr. Christine Budzikiewicz. Sie ließ mir die Freiheit, das Thema meiner Arbeit selbst zu suchen und half dann tatkräftig, Fragen zu durchdenken und Antworten zu finden. Im Austausch mit ihr konnte ich die Klarheit von Struktur und Aussagen schärfen. Zudem stand sie bei allen verwaltungstechnischen Begleiterscheinungen einer Dissertation mit Rat und Tat zur Seite. Ohne sie hätte das Projekt so nicht abgeschlossen werden können. Für die Begutachtung der Arbeit bedanke ich mich herzlich bei Frau Prof. Dr. Monika Böhm und für die Übernahme des Vorsitzes der Disputation bei Herrn Prof. Dr. Sebastian Omlor, LL.M. (NYU), LL.M. Eur. Sie haben nicht nur großes Interesse gezeigt, sondern die Dissertation durch kritische Rückfragen aufgewertet. Die Anfertigung der Doktorarbeit war zeitintensiv. Das Aufbringen der Zeit wäre ohne die Unterstützung meiner Partnerin Isabelle kaum möglich gewesen. Sie stand vom ersten bis zum letzten Augenblick hinter dem Projekt. Sie hat ermutigt, hinterfragt und sich unermüdlich (für sie) fachfremde Überlegungen angehört. Auch wenn dem ein Dankeswort nicht gerecht werden kann: Danke! Häufig zu anderen Anlässen, aber mit kaum geringerem Aufwand hat mich meine (zu meinem Glück immer größer werdende) Familie, wie schon immer, in jeder Hinsicht unterstützt. Sie ist gleichermaßen Fundament wie Resonanzkörper, ohne die diese und jede Arbeit weder möglich wäre noch Freude bereiten würde. Auch an euch richte ich ein unzureichendes aber aus dem Tiefsten kommendes: Danke!

8 Vorwort

Für besonders tatkräftige Hilfestellung möchte ich mich (teilweise wiederholt) bei Evelyn, Isabelle, Martin, Michael und Rüdiger bedanken. Sie haben mit äußerster Gründlichkeit und unverdrossenem Zeitaufwand Gegen- und Korrekturgelesen. Die unschätzbare Bedeutung dessen wird jede Autor:in kennen. Für die Finanzierung danke ich: Mama. Düsseldorf, im Oktober 2022

Erik Brüggemann

Inhaltsverzeichnis A. Problematik der Persönlichkeitsprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Digitalisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Persönlichkeitsprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Deliktische Haftung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Persönlichkeitsprofile in der Forschung . . . . . . . . . . . . . . . . . . . . . . . . . . .

19 19 19 21 21

B. Akkumulation, Bildung und Verwendung von Persönlichkeitsprofilen  . 23 I. Wirtschaftliche und politische Anreize . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 II. Akkumulierung durch Digitalisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 1. Kontext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 2. Techniken der Akkumulation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 a) ISPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 b) Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 c) Cookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 d) Skripte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 e) Plugins  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 f) Device Fingerprinting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 g) Sound Beacon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 3. Syntaktische und semantische Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 III. Bildung von Persönlichkeitsprofilen  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 1. Herkömmliche Profildefinitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 2. Persönlichkeitsprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 a) Zusammenführung vieler verschiedener Daten . . . . . . . . . . . . . . . . 34 b) Verknüpfung von Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 c) Generierung neuer Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 d) Bewertung von Aspekten einer Person . . . . . . . . . . . . . . . . . . . . . . 36 e) Autopoietisches System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 IV. Verwendung von Persönlichkeitsprofilen . . . . . . . . . . . . . . . . . . . . . . . . . . 37 V. Einordnung als „Big Data“-Anwendung . . . . . . . . . . . . . . . . . . . . . . . . . . 38 C. Deliktische Haftung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Begründung und Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Verstoß gegen die Verordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Personenbezogene Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Definition der Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . (1) „Informationen“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) „beziehen“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

40 40 41 41 41 41 42

10 Inhaltsverzeichnis (3) „identifizierte oder identifizierbare natürliche Person“ . . . (a) Der relativ-objektive Ansatz . . . . . . . . . . . . . . . . . . . . (b) Beachtlichkeit einer rechtswidrigen Zusammenführung? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (c) Identifizierung bei 33 Bits Informationen . . . . . . . . . . (d) Anerkannte Kategorien personenbezogener Daten . . . bb) Akkumulierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) ISPs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (3) Cookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (4) Plugins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (5) Skripte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (6) Device Fingerprinting und Sound Beacon . . . . . . . . . . . . . cc) Bildung und Verwendung von Persönlichkeitsprofilen . . . . . . b) Verarbeitungen personenbezogener Daten  . . . . . . . . . . . . . . . . . . . aa) Akkumulierung personenbezogener Daten für Persönlichkeitsprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Bildung von Persönlichkeitsprofilen . . . . . . . . . . . . . . . . . . . . . cc) Verwendung von Persönlichkeitsprofilen . . . . . . . . . . . . . . . . . dd) Einordnung als „Profiling“ im Sinne des Art. 4 Nr. 4 DSGVO  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Definition von „Profiling“ in Art. 4 Nr. 4 DS-GVO . . . . . (2) Akkumulierung der Daten für ein Persönlichkeitsprofil als Profiling  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (3) Bildung eines Persönlichkeitsprofils als Profiling . . . . . . . (4) Verwendung eines Persönlichkeitsprofils als Profiling . . . (5) Zusammenfassung Einordnung als Profiling . . . . . . . . . . . c) Grundsätze der DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Rechtmäßigkeit (Art. 5 Abs. 1 lit. a Var. 1 DS-GVO) . . . . . . . bb) Verarbeitung nach Treu und Glauben (Art. 5 Abs. 1 lit. a Var. 2 DS-GVO) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (1) Anforderungen von „Treu und Glauben“  . . . . . . . . . . . . . (a) Autonome Auslegung  . . . . . . . . . . . . . . . . . . . . . . . . . (aa) Voraussetzungen autonomer Auslegung . . . . . . . (bb) Autonome Auslegung von „Treu und Glauben“? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (b) Ansicht der Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . (c) Wortlautauslegung . . . . . . . . . . . . . . . . . . . . . . . . . . . . (d) Systematische Auslegung  . . . . . . . . . . . . . . . . . . . . . . (aa) ACQP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (bb) DCFR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (cc) PECL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (dd) Klausel-RL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

43 43 45 46 47 49 50 50 50 51 51 51 51 52 52 53 54 54 55 56 56 57 57 57 59 59 59 59 60 61 62 62 63 64 64 65 65

Inhaltsverzeichnis11 (ee) GEK-VO-E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 (e) Zusammenfassung der Auslegungsergebnisse . . . . . . . 67 (2) Akkumulierung der Daten für ein Persönlichkeitsprofil  . 67 (3) Bildung von Persönlichkeitsprofilen . . . . . . . . . . . . . . . . . 68 (4) Verwendung von Persönlichkeitsprofilen als treuwidrig  . 69 (5) Zwischenergebnis des Treu und Glauben-Grundsatzes nach Art. 5 Abs. 1 lit. a Var. 2 DS-GVO . . . . . . . . . . . . . . 70 cc) Transparenz (Art. 5 Abs. 1 lit. a Var. 3 DS-GVO) . . . . . . . . . . 70 (1) Anforderungen des Transparenzgrundsatzes . . . . . . . . . . . 70 (a) Ansicht der Literatur . . . . . . . . . . . . . . . . . . . . . . . . . . 70 (b) Auslegung des historischen Verordnungsgeberwillens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 (c) Systematische Auslegung  . . . . . . . . . . . . . . . . . . . . . . 71 (d) Auslegung nach Sinn und Zweck . . . . . . . . . . . . . . . . 72 (e) Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 (2) Akkumulierung der Daten für ein Persönlichkeitsprofil und „Transparenz“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 (3) Bildung von Persönlichkeitsprofilen und „Transparenz“ . 74 (4) Verwendung von Persönlichkeitsprofilen und „Transparenz“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 (5) Zwischenergebnis zum Transparenzgrundsatz nach Art. 5 Abs. 1 lit. a Var. 3 DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . 75 dd) Zweckbindung (Art. 5 Abs. 1 lit. b HS. 1 DS-GVO) . . . . . . . . 76 (1) Tatbestandsmerkmal „festgelegt“ . . . . . . . . . . . . . . . . . . . . 76 (a) Anforderungen des Festlegungsmerkmals . . . . . . . . . . 77 (aa) Ansicht der Literatur . . . . . . . . . . . . . . . . . . . . . . 77 (bb) Wortlautauslegung . . . . . . . . . . . . . . . . . . . . . . . . 78 (cc) Auslegung nach Sinn und Zweck . . . . . . . . . . . . 78 (dd) Auslegung des historischen Verordnungsgeberwillens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 (ee) Systematische Auslegung . . . . . . . . . . . . . . . . . . 79 (ff) Zusammenfassung der Anforderungen . . . . . . . . 80 (b) Akkumulierung der personenbezogenen Daten für ein Persönlichkeitsprofil als festgelegter Zweck  . . . . 80 (c) Bildung von Persönlichkeitsprofilen als festgelegter Zweck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 (d) Verwendung der Persönlichkeitsprofile als festgelegter Zweck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 (2) Tatbestandsmerkmal „eindeutig“ . . . . . . . . . . . . . . . . . . . . 82 (a) Anforderungen des Eindeutigkeitsmerkmals . . . . . . . . 82 (aa) Ansicht der Literatur . . . . . . . . . . . . . . . . . . . . . . 82 (bb) Auslegung des Wortlauts . . . . . . . . . . . . . . . . . . 83 (cc) Auslegung nach Sinn und Zweck . . . . . . . . . . . . 83

12 Inhaltsverzeichnis (dd) Systematische Auslegung . . . . . . . . . . . . . . . . . . 84 (ee) Auslegung des historischen Verordnungsgeberwillens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 (ff) Zusammenfassung der Anforderungen . . . . . . . . 85 (b) Akkumulierung der personenbezogenen Daten für ein Persönlichkeitsprofil als eindeutiger Zweck . . . . . 86 (c) Bildung von Persönlichkeitsprofilen als eindeutiger Zweck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 (d) Verwendung von Persönlichkeitsprofilen als eindeutiger Zweck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 (3) Tatbestandsmerkmal „legitim“ . . . . . . . . . . . . . . . . . . . . . . 88 (a) Anforderungen des Legitimitätsmerkmals . . . . . . . . . 88 (aa) Ansichten der Literatur . . . . . . . . . . . . . . . . . . . . 88 (bb) Autonome Auslegung von „legitim“? . . . . . . . . . 89 (cc) Wortlautauslegung . . . . . . . . . . . . . . . . . . . . . . . . 90 (dd) Auslegung nach Sinn und Zweck . . . . . . . . . . . . 91 (ee) Systematische Auslegung . . . . . . . . . . . . . . . . . . 91 (ff) Historische Auslegung . . . . . . . . . . . . . . . . . . . . 92 (gg) Zusammenfassung der Auslegungsergebnisse  . 93 (b) Akkumulierung der personenbezogenen Daten für ein Persönlichkeitsprofil als legitimer Zweck . . . . . . . 93 (c) Bildung von Persönlichkeitsprofilen als legitimer Zweck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 (d) Verwendung von Persönlichkeitsprofilen als legitimer Zweck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 (4) Zwischenergebnis Tatbestandsmerkmale Zweckbindung . 96 (5) Zweckbindung und Weiterverarbeitung . . . . . . . . . . . . . . . 97 (a) Konzept der Weiterverarbeitung . . . . . . . . . . . . . . . . . 97 (aa) Ansichten der Literatur . . . . . . . . . . . . . . . . . . . . 98 (bb) Wortlautauslegung . . . . . . . . . . . . . . . . . . . . . . . . 100 (cc) Auslegung des historischen Verordnungsgeberwillens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 (α) ErwG. 50 DS-GVO als Hinweis auf den Verordnungsgeberwillen . . . . . . . . . . . . . . . . 101 (β) Versionsgeschichte von ErwG. 50; Art. 5 Abs. 1 lit. b; 6 Abs. 4 DS-GVO . . . . . . . . . . 101 (γ) Analyse der Versionsgeschichte . . . . . . . . . . 102 (dd) Systematische Auslegung . . . . . . . . . . . . . . . . . . 103 (α) Privilegierung von zweckkompatiblen Verarbeitungen? . . . . . . . . . . . . . . . . . . . . . . 103 (β) Unterscheidung zwischen Art. 5 Abs. 1 lit. b HS. 1 DS-GVO und Art. 6 Abs. 4 DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 (ee) Auslegung nach Sinn und Zweck . . . . . . . . . . . . 106

Inhaltsverzeichnis13 (ff) Zwischenergebnis Konzept der Weiterverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 (b) Vereinbarkeit der Verarbeitung mit Art. 5 Abs. 1 lit. b HS. 1 DS-GVO  . . . . . . . . . . . . . . . . . . . . . . . . . 107 (aa) Akkumulierung der personenbezogenen Daten für ein Persönlichkeitsprofil als Weiterverarbeitung nach Art. 5 Abs. 1 lit. b DS-GVO . . . . . . . 107 (bb) Bildung von Persönlichkeitsprofilen als Weiterverarbeitung nach Art. 5 Abs. 1 lit. b DS-GVO . 108 (cc) Verwendung von Persönlichkeitsprofilen als Weiterverarbeitung nach Art. 5 Abs. 1 lit. b DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 (dd) Zwischenergebnis Vereinbarkeit der Verarbeitung mit Art. 5 Abs. 1 lit. b HS. 1 DS-GVO . . . 109 (ee) Privilegierte Zwecke . . . . . . . . . . . . . . . . . . . . . . 109 (c) Vereinbarkeit der Verarbeitung mit Art. 6 Abs. 4 DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 (aa) Privilegierte Zweckänderungen  . . . . . . . . . . . . . 110 (bb) Kriterien des Art. 6 Abs. 4 DS-GVO . . . . . . . . . 111 (α) Die Kriterien und ihre Bedeutung . . . . . . . . 111 (β) „Verbindung“ . . . . . . . . . . . . . . . . . . . . . . . . 113 (γ) „Zusammenhang“ . . . . . . . . . . . . . . . . . . . . . 113 (δ) „Art“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 (ε) „Folgen“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 (ζ) „Garantien“ . . . . . . . . . . . . . . . . . . . . . . . . . . 116 (cc) Akkumulierung der personenbezogenen Daten für ein Persönlichkeitsprofil als kompatibler Sekundärzweck nach Art. 6 Abs. 4 DS-GVO . . . 116 (α) Primärzwecke „Verbesserung der Nutzer­ erfahrung“ und „Werbung“ . . . . . . . . . . . . . 117 (β) Primärzweck „Personalisierung“ . . . . . . . . . 117 (dd) Bildung eines Persönlichkeitsprofils als kompatibler Sekundärzweck nach Art. 6 Abs. 4 DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 (α) Primärzwecke „Verbesserung der Nutzer­ erfahrung“ und „Werbung“ . . . . . . . . . . . . . 119 (β) Primärzweck „Personalisierung“ . . . . . . . . . 119 (ee) Verwendung eines Persönlichkeitsprofils als kompatibler Sekundärzweck nach Art. 6 Abs. 4 DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 (α) Primärzwecke „Verbesserung der Nutzer­ erfahrung“ und „Werbung“ . . . . . . . . . . . . . 120 (β) Primärzweck „Personalisierung“ . . . . . . . . . 121 (ff) Zwischenergebnis Vereinbarkeit der Verarbeitung nach Art. 6 Abs. 4 DS-GVO . . . . . . . . . . . . 121

14 Inhaltsverzeichnis (d) Zwischenergebnis „Weiterverarbeitung“ . . . . . . . . . . . 122 (6) Zwischenergebnis Zweckbindungsgrundsatz . . . . . . . . . . . 122 ee) Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO) . . . . . . . . . . 123 (1) Bezugspunkt der Tatbestandsmerkmale . . . . . . . . . . . . . . . 123 (2) Verhältnis zum Zweckbindungsgrundsatz . . . . . . . . . . . . . 124 (3) Tatbestandsmerkmal „angemessen“ . . . . . . . . . . . . . . . . . . 124 (a) Anforderungen des Angemessenheitsmerkmals . . . . . 124 (aa) Ansicht der Literatur . . . . . . . . . . . . . . . . . . . . . . 125 (bb) Wortlautauslegung . . . . . . . . . . . . . . . . . . . . . . . . 125 (cc) Auslegung nach Sinn und Zweck . . . . . . . . . . . . 126 (dd) Auslegung nach der Systematik . . . . . . . . . . . . . 127 (ee) Zusammenfassung der Auslegungsergebnisse  . 127 (b) Akkumulierung der Daten für ein Persönlichkeitsprofil als „angemessen“ . . . . . . . . . . . . . . . . . . . . . . . . 127 (c) Bildung von Persönlichkeitsprofilen als „angemessen“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 (d) Verwendung von Persönlichkeitsprofilen als „angemessen“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 (4) Tatbestandsmerkmal „erheblich“ . . . . . . . . . . . . . . . . . . . . 129 (a) Anforderungen des Erheblichkeitsmerkmals . . . . . . . . 129 (aa) Ansicht der Literatur . . . . . . . . . . . . . . . . . . . . . . 129 (bb) Wortlautauslegung . . . . . . . . . . . . . . . . . . . . . . . . 130 (cc) Auslegung des historischen Gesetzgeberwillens  131 (dd) Auslegung nach Sinn und Zweck . . . . . . . . . . . . 131 (ee) Zusammenfassung der Auslegungsergebnisse  . 131 (b) Akkumulierung der Daten für ein Persönlichkeitsprofil als „erheblich“ . . . . . . . . . . . . . . . . . . . . . . . . . . 132 (aa) Besondere Relevanz einzelner Daten für die Akkumulierung . . . . . . . . . . . . . . . . . . . . . . . . . . 132 (bb) Besondere Relevanz von Datenkategorien für die Akkumulierung . . . . . . . . . . . . . . . . . . . . . . . 132 (cc) Besondere Relevanz von Verarbeitungsvorgängen für die Akkumulierung . . . . . . . . . . . . . . . . . 134 (dd) Besondere Relevanz bei festgelegtem Verwendungszweck des Persönlichkeitsprofils für die Akkumulierung . . . . . . . . . . . . . . . . . . . . . . . . . . 134 (ee) Zusammenfassung der Akkumulierung als „erheblich“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 (c) Bildung von Persönlichkeitsprofilen als „erheblich“ . 135 (d) Verwendung von Persönlichkeitsprofilen als „erheblich“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 (5) Tatbestandsmerkmal „notwendige[s] Maß“ . . . . . . . . . . . . 137 (a) Anforderungen des Merkmals des notwendigen Maßes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

Inhaltsverzeichnis15 (aa) Ansicht der Literatur . . . . . . . . . . . . . . . . . . . . . . 137 (bb) Autonome Auslegung der Beschränkung auf das „notwendige Maß“? . . . . . . . . . . . . . . . . . . . 138 (cc) Wortlautauslegung . . . . . . . . . . . . . . . . . . . . . . . . 141 (dd) Auslegung des historischen Verordnungsgeberwillens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 (ee) Teleologische Auslegung . . . . . . . . . . . . . . . . . . . 143 (ff) Systematische Auslegung . . . . . . . . . . . . . . . . . . 143 (gg) Zusammenfassung der Auslegungsergebnisse zum „notwendige[n] Maß“ . . . . . . . . . . . . . . . . . 145 (b) Akkumulierung der Daten für ein Persönlichkeitsprofil im Rahmen des „notwendige[n] Maß[es]“ . . . . 145 (c) Bildung von Persönlichkeitsprofilen im Rahmen des „notwendige[n] Maß[es]“ . . . . . . . . . . . . . . . . . . . . . . 146 (d) Verwendung von Persönlichkeitsprofilen im Rahmen des „notwendige[n] Maß[es]“ . . . . . . . . . . . . . . . . . . . 147 (6) Zwischenergebnis Datenminimierungsgrundsatz . . . . . . . . 147 ff) Zwischenergebnis Grundsätze . . . . . . . . . . . . . . . . . . . . . . . . . . 148 d) Verstoß gegen spezielle Normen der DS-GVO . . . . . . . . . . . . . . . . 149 aa) Automatisierte Entscheidungen im Einzelfall, Art. 22 DSGVO  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 (1) Widerspruchsrecht oder Verbotsgesetz? . . . . . . . . . . . . . . . 149 (2) Anforderungen des Verbots . . . . . . . . . . . . . . . . . . . . . . . . 151 (a) Grundsatz nach Art. 22 Abs. 1 DS-GVO  . . . . . . . . . . 151 (aa) Tatbestandsmerkmal der Verarbeitung . . . . . . . . 151 (bb) Tatbestandsmerkmal der Entscheidung . . . . . . . . 152 (cc) Tatbestandsmerkmal der Ausschließlichkeit . . . . 152 (dd) Tatbestandsmerkmal des Unterworfenseins . . . . 153 (ee) Tatbestandsmerkmale der rechtlichen Wirkung und der Beeinträchtigung . . . . . . . . . . . . . . . . . . 154 (b) Ausnahmen nach Art. 22 Abs. 2, 3 DS-GVO  . . . . . . 156 (c) Rückausnahme nach Art. 22 Abs. 4 DS-GVO . . . . . . 157 (3) Rechtsfolgen für Persönlichkeitsprofile . . . . . . . . . . . . . . . 157 (a) Akkumulierung der Daten . . . . . . . . . . . . . . . . . . . . . . 157 (b) Bildung von Persönlichkeitsprofilen . . . . . . . . . . . . . . 158 (c) Verwendung von Persönlichkeitsprofilen . . . . . . . . . . 159 (4) Zusammenfassung Art. 22 DS-GVO . . . . . . . . . . . . . . . . . 161 bb) Widerspruchsrecht, Art. 21 DS-GVO  . . . . . . . . . . . . . . . . . . . 161 (1) Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 (a) Widerspruchsrecht nach Abs. 1 . . . . . . . . . . . . . . . . . . 162 (aa) Rechtsansprüche . . . . . . . . . . . . . . . . . . . . . . . . . 162 (bb) Mehrstufige Prüfung  . . . . . . . . . . . . . . . . . . . . . 163 (α) Verarbeitung nach Art. 6 Abs. 1 lit. e oder f DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

16 Inhaltsverzeichnis (β) Gründe, die sich aus der besonderen Situation des Betroffenen ergeben . . . . . . . . 164 (γ) Zwingende schutzwürdige Gründe des Verantwortlichen . . . . . . . . . . . . . . . . . . . . . . 165 (δ) Abwägung . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 (b) Widerspruchsrecht nach Abs. 2, 3 . . . . . . . . . . . . . . . . 166 (c) Widerspruchsrecht nach Abs. 6 . . . . . . . . . . . . . . . . . . 168 (2) Rechtsfolgen für Persönlichkeitsprofile . . . . . . . . . . . . . . . 168 (a) Akkumulierung der Daten . . . . . . . . . . . . . . . . . . . . . . 168 (b) Bildung von Persönlichkeitsprofilen . . . . . . . . . . . . . . 169 (c) Verwendung von Persönlichkeitsprofilen . . . . . . . . . . 170 (3) Zusammenfassung zu Art. 21 DS-GVO . . . . . . . . . . . . . . . 172 cc) Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 dd) Zwischenergebnis Verstoß gegen spezielle Normen . . . . . . . . 173 e) Verstoß gegen die Erlaubnissätze des Art. 6 Abs. 1 DS-GVO . . . . 173 aa) Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO) . . . . . . . . . . . . . . . 174 (1) Bei Verweigerung oder Rücknahme kein Rückgriff auf andere Erlaubnistatbestände. . . . . . . . . . . . . . . . . . . . . . . . 175 (2) Anforderungen  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 (a) Form, Unmissverständlichkeit, Informiertheit und Bestimmtheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 (b) Freiwilligkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 (c) Zusammenfassung der Auslegungsergebnisse . . . . . . . 180 (3) Einwilligung in Akkumulierung der Daten . . . . . . . . . . . . 180 (4) Einwilligung in Bildung von Persönlichkeitsprofilen . . . . 182 (5) Einwilligung in Verwendung von Persönlichkeitsprofilen . 183 (6) Zusammenfassung zur Einwilligung und Persönlichkeitsprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 bb) Vertragserforderlichkeit (Art. 6 Abs. 1 lit. b DS-GVO) . . . . . . 184 (1) Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 (a) Erfüllung eines Vertrages . . . . . . . . . . . . . . . . . . . . . . . 185 (b) Durchführung einer vorvertraglichen Maßnahme . . . . 185 (c) Erforderlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 (aa) Zwischenschrittskriterium . . . . . . . . . . . . . . . . . . 186 (bb) Unabdingbarkeitskriterium . . . . . . . . . . . . . . . . . 187 (cc) Kombination der Kriterien . . . . . . . . . . . . . . . . . 188 (d) Berücksichtigung der Anforderungen anderer Erlaubnissätze? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 (e) Zusammenfassung der Auslegungsergebnisse . . . . . . . 189 (2) Vertragserforderlichkeit der Akkumulierung . . . . . . . . . . . 190 (3) Vertragserforderlichkeit der Profilbildung . . . . . . . . . . . . . 191 (4) Vertragserforderlichkeit der Profilverwendung . . . . . . . . . 192

Inhaltsverzeichnis17 (5) Zusammenfassung zur Vertragserforderlichkeit . . . . . . . . . 193 cc) Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DS-GVO) . . . . . . . . 194 (1) Stellung im Normgefüges des Art. 6 Abs. 1 DS-GVO . . . 194 (2) Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 (a) Verarbeitungsinteresse . . . . . . . . . . . . . . . . . . . . . . . . . 195 (aa) Weite Auslegung des berechtigten Interesses?  . 195 (bb) Welche Verarbeitungsinteressen sind umfasst? . 196 (cc) Berechtigung des Interesses . . . . . . . . . . . . . . . . 197 (b) Erforderlichkeit der Verarbeitung für das Verarbeitungsinteresse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 (c) Betroffenengründe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 (d) Abwägung des Verarbeitungsinteresses mit den Betroffenengründen . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 (aa) Formelle Abwägungskriterien . . . . . . . . . . . . . . . 201 (bb) Vorhersehbarkeit der Verarbeitung . . . . . . . . . . . 202 (cc) Beziehung zwischen den Beteiligten . . . . . . . . . 202 (dd) Schutzmaßnahmen . . . . . . . . . . . . . . . . . . . . . . . . 203 (ee) Intensität der Verarbeitung . . . . . . . . . . . . . . . . . 204 (e) Zusammenfassung der Anforderungen des Art. 6 Abs. 1 lit. f DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . 205 (3) Die Akkumulierung personenbezogener Daten als berechtigtes Interesse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 (4) Bildung von Persönlichkeitsprofilen als berechtigtes Interesse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 (a) Verarbeitungsinteresse, Erforderlichkeit und Betroffenengründe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 (b) Abwägung des Verarbeitungsinteresses mit den Betroffenengründen . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 (aa) Vorhersehbarkeit der Verarbeitung . . . . . . . . . . . 209 (bb) Beziehung zwischen den Beteiligten . . . . . . . . . 210 (cc) Schutzmaßnahmen . . . . . . . . . . . . . . . . . . . . . . . . 211 (dd) Intensität der Verarbeitung . . . . . . . . . . . . . . . . . 211 (ee) Ergebnis zur Bildung von Persönlichkeitsprofilen als berechtigtes Interesse . . . . . . . . . . . . . . . 212 (5) Verwendung von Persönlichkeitsprofilen als berechtigtes Interesse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 (a) Verarbeitungsinteresse, Erforderlichkeit und Betroffenengründe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 (b) Abwägung des Verarbeitungsinteresses mit den Betroffenengründen . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 (aa) Die Vorhersehbarkeit der Verarbeitung . . . . . . . . 214 (bb) Beziehungen zwischen den Beteiligten . . . . . . . 214 (cc) Schutzmaßnahmen  . . . . . . . . . . . . . . . . . . . . . . . 215 (dd) Intensität der Verarbeitung . . . . . . . . . . . . . . . . . 216

18 Inhaltsverzeichnis (ee) Ergebnis zur Verwendung von Persönlichkeitsprofilen als berechtigtes Interesse . . . . . . . . . . . . 217 (6) Zusammenfassung zum berechtigten Interesse und Persönlichkeitsprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 dd) Übrige Erlaubnisnormen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 (1) Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DS-GVO) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 (2) Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d DS-GVO)  219 (3) Aufgabe im öffentlichen Interesse (Art. 6 Abs. 1 lit. e DS-GVO) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 ee) Zwischenergebnis Verstoß gegen die Erlaubnissätze des Art. 6 Abs. 1 DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 f) Verstoß gegen die Betroffenenrechte der Art. 12 bis 20 DS-GVO . 220 g) Zwischenergebnis Verstoß gegen die Verordnung und Persönlichkeitsprofile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 2. Schaden  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 a) Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 b) Anwendung auf Akkumulierung, Bildung und Verwendung . . . . . 224 3. Kausalzusammenhang zwischen Verstoß und Schaden . . . . . . . . . . . . 225 a) Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 b) Anwendung auf Akkumulierung, Bildung und Verwendung . . . . . 227 4. Anspruchsberechtigter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 a) Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 b) Anwendung auf Akkumulierung, Bildung und Verwendung . . . . . 229 5. Anspruchsverpflichteter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 a) Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 b) Anwendung auf Akkumulierung, Bildung und Verwendung . . . . . 231 6. Exkulpationsmöglichkeit nach Art. 82 Abs. 3 DS-GVO . . . . . . . . . . . . 232 a) Anforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 aa) Maßstab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 bb) Beweislastumkehr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 cc) Beschränkung auf mehrere Verantwortliche? . . . . . . . . . . . . . . 235 b) Anwendung auf akkumulierte Persönlichkeitsprofile . . . . . . . . . . . 235 7. Rechtsfolge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 a) Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 b) Anwendung auf Akkumulierung, Bildung und Verwendung . . . . . 237 8. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 II. Gesamtergebnis  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 D. Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241

A. Problematik der Persönlichkeitsprofile I. Digitalisierung Lebensbereiche werden zunehmend digitalisiert. Alles wird mit Nullen und Einsen ersetzt, dargestellt und erweitert. Weil Zahlen keine Grenzen haben und sich die Rechenkapazität gemäß des Mooreschen Gesetzes regelmäßig verdoppelt,1 kennt diese neue, binäre Welt täglich mehr von unserem privaten und gesellschaftlich-öffentlichen Leben. Das „Internet der Dinge“, das schon heute Milliarden Gegenstände umfasst, sammelt durch Sensoren wie GPS-Module Daten aller Art und in großen Mengen. Durch diese Digitalisierung wird die digitale Welt so allgegenwärtig wie nie zuvor. Das Internet wird derart ubiquitär, dass es verschwinden, beziehungsweise nicht mehr wahrnehmbar sein wird.2 Je unsichtbarer das Internet aber ist, desto geringer wird das Bewusstsein, sich in ihm zu bewegen. Durch diese bewusste und unbewusste, ständige, internetbasierte Kommunikation gibt man kontinuierlich Daten preis.3 Diese Daten sind, gerade in ihrer Masse, wertvoll.4 Unternehmen wie Facebook, Amazon, Apple, Netflix und Alphabet („FAANG“) haben sehr erfolgreich ihr Geschäft auf der Verwertung von Daten aufgebaut und erwirtschafteten 2021 einen Umsatz von 1.256 Mrd. US-Dollar.5

II. Persönlichkeitsprofile Dem Datenschutz kommt bei stetig zunehmender Digitalisierung eine immer größere Bedeutung zu. In der digitalisierten Welt sind Daten leicht verfügbar und können mit vernachlässigbaren Transaktionskosten an jeden Ort der Erde gesendet und praktisch beliebig oft kopiert werden. Die einzigen 1  https://de.wikipedia.org/wiki/Mooresches_Gesetz, zuletzt abgerufen am 17.05.2022. 2  So Eric Schmidt, Executive Chairman von Google Inc. am 23.01.2015 auf dem Weltwirtschaftsforum in Davos. 3  Vgl. Wybitul DS-GVO/Draf, Art. 21, 22 Rn. 3; Weichert, ZD 2013, 251, 252. 4  Siehe zum Wert eines Profils den Financial-Times-Rechner unter http://www.ft. com/cms/s/2/927ca86e-d29b-11e2-88ed-00144feab7de.html#axzz2z2agBB6R, zuletzt abgerufen am 17.05.2022. 5  https://de.wikipedia.org/wiki/Alphabet_Inc, https://de.wikipedia.org/wiki/Ama zon.com, https://de.wikipedia.org/wiki/Apple, https://de.wikipedia11.org/wiki/Face book_Inc, https://de.wikipedia.org/wiki/Netflix, alle zuletzt abgerufen am 17.05.2022.

20

A. Problematik der Persönlichkeitsprofile

Grenzen sind die des Rechts. Der Datenschutz hat zum Ziel, personenbezogene Daten vor unbefugtem Zugriff zu schützen, damit aus der privaten Sphäre keine öffentliche wird. Die Privatsphäre ist essentiell für das Zusammenleben in unserer Gesellschaft.6 Nur hier lassen sich Persönlichkeiten bilden und Beziehungen zu Mitmenschen aufbauen. Sie ist die Keimzelle für grundlegende gesellschaftliche Partizipationsrechte, wie die Teilnahme an Versammlungen oder Bürgerinitiativen7. Würde die Sphäre der Öffentlichkeit grenzenlos ausgedehnt, würde sie dem Menschen das Menschsein diktieren. Für die Gesundheit des Einzelnen ebenso wie die der Gesellschaft muss die Privatsphäre geschützt werden. Schützen bedeutet, sie weniger einsehbar zu machen. Wenn Außenstehende ein umfassendes Bild von einem Menschen und seiner Privatsphäre haben, ist sie aufgelöst.8 Ein solches umfassendes Bild ist ein Profil der Persönlichkeit. In den Gesetzen zum Datenschutz ist es allerdings kaum direkt geregelt. Dabei stehen Persönlichkeitsprofile bereits mit der Menschenwürde im Konflikt.9 Nicht nur, weil bereits die Anhäufung des entsprechenden Wissens und die Analyse der gesamten Persönlichkeit des Betroffenen10 der Rechtfertigung bedarf. Mit der Auswertung eines Menschen werden seine Wünsche und Bedürfnisse offenbar. Dies ermöglicht es, sie schnell und genau zu erfüllen. Der entsprechende ökonomische Anreiz wird mit dem Satz „Daten sind das neue Öl“ plakativ beschrieben. Denkt man diesen Prozess radikal zu Ende, ermöglicht es auch, Wünsche durch gezielte Anreize zu beeinflussen. In einer solchen Werbeblase wird nur noch wahrgenommen, was einem gefällt und was einem gefällt, kann extern beeinflusst werden. Der Kontakt zu Elementen, die außerhalb einer gesetzten Wunsch-Grenze liegen, verringert sich. Dabei lässt sich immer schwieriger feststellen, ob dem Betroffenen noch die Kontrolle über die Grenzsetzung verbleibt. Wenn aber die Befriedigung von allem Verlangten angeboten und gleichzeitig das Verlangen kon­ trolliert wird, gefährdet das die Vielfältigkeit der Gesellschafft als Ganzes sowie das Entwicklungspotenzial des Einzelnen. Der betroffene Mensch

6  Vgl. BVerfG Urteil vom 27.02.2008 – 1 BvR 370/07, 1 BvR 595/07 (OnlineDurchsuchung), RZ. 271; Sinn und Unsinn/Bull, S.  56 f., 76 f. 7  Vgl. BVerfG, Urteil vom 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83 (Volkszählungsurteil), RZ. 148. 8  Vgl. BVerfGE 27, 1, 6 (Mikrozensus). BVerfG, Urteil vom 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83 (Volkszählungsurteil), RZ. 146 ff.; Jandt/Laue, K&R 2006, 316, 316 f. 9  Vgl. Surveillance Capitalism/Zuboff, S. 46. 10  Die Verwendung des generischen Maskulinums in dieser Arbeit dient dem Gleichlaut mit den gesetzlichen Formulierungen. Selbstverständlich sollen alle Menschen angesprochen sein.



IV. Persönlichkeitsprofile in der Forschung21

würde bloßes Objekt und damit, in letzter Konsequenz, seiner Würde beraubt.11 Um einer solchen Entwicklung vorzubeugen, wurden Datenschutzgesetze geschaffen. Sie bestimmen, welche Verarbeitungen welcher personenbezogenen Daten wann zulässig sind. Hierbei gibt es zwei Ansätze. Einerseits gehen Datenschutzgesetze davon aus, dass die Betroffenen in der Lage sind, Umfang und Tragweite der Verarbeitungen ihrer Daten zu verstehen und dass deren Einwilligung über die Zulässigkeit entscheidet. Andererseits tarieren die Gesetze aus, welche Verarbeitungsvorgänge dem Betroffenen zugemutet werden können. Für Persönlichkeitsprofile sind möglichst viele Verarbeitungen nötig. Eine Untersuchung ihrer Rechtmäßigkeit ist daher denkbar umfangreich. Sie erfordert festzustellen, was personenbezogene Daten sind und wie sie verarbeitet werden. Anschließend ist zu prüfen, ob Persönlichkeitsprofile mit den Datenschutzgrundsätzen vereinbar sind. Erst dann lassen sie sich an den Erlaubnistatbeständen und sonstigen Spezialnormen messen.

III. Deliktische Haftung Angesichts des steigenden Umfangs von Digitalisierung und Profilbildung stellt sich nicht nur verstärkt die Frage nach deren Rechtmäßigkeit. Für die Betroffenen ist insbesondere von Bedeutung, ob die Erstellung und die Verwendung von Persönlichkeitsprofilen ausgleichspflichtig sind. Angesprochen sind damit sowohl eventuelle Unterlassungsansprüche als auch Ansprüche auf Schadensersatz. Mit einem Haftungsrisiko würde der Datenverarbeitungsindustrie ein Anreiz gesetzt werden, ihre Standards zu erhöhen. Die DS-GVO sieht in Art. 82 Abs. 1 eine deliktische Haftung für Verletzungen ihrer materiellen Normen vor. Dies setzt voraus, dass Persönlichkeitsprofile gegen die Verordnung verstoßen, dass daraus ein Schaden entstanden ist, dass ein Kausalzusammenhang zwischen dem Verordnungsverstoß und dem Schaden besteht, dass Anspruchsberechtigter und -verpflichteter bestimmt werden können und dass keine Exkulpation möglich ist. Daraus ergeben sich schließlich mögliche Rechtsfolgen.

IV. Persönlichkeitsprofile in der Forschung Die datenschutzrechtliche Bewertung von Profilen wird häufig angesprochen, aber selten eingehender behandelt. Inwieweit sie geltendem Recht zuwiderlaufen, ist ebenso wenig umfassend erforscht wie die Frage nach delik11  Vgl. Jandt/Laue, K&R 2006, 316, 319; Individualisierung und Datenschutz/ Schwenke, S. 131.

22

A. Problematik der Persönlichkeitsprofile

tischer Verantwortlichkeit. Geradezu ein Randthema ist die Frage nach der kollisionsrechtlichen Qualifizierung der DS-GVO-Normen. Der Schutz von Privatheit und Persönlichkeit, insbesondere durch Grund- und Menschenrechte, wird zwar eingehend behandelt, zu umfassenden Persönlichkeitsprofilen fehlt es jedoch bislang an einer erschöpfenden Untersuchung. Diese ist aber angesichts der Implikationen für Individuum und Gesellschaft angezeigt.

B. Akkumulation, Bildung und Verwendung von Persönlichkeitsprofilen I. Wirtschaftliche und politische Anreize Ein Persönlichkeitsprofil besteht aus weiten Teilen aus den Eigenschaften eines Menschen und übersetzt seine Durchschnittlichkeit wie seine Indivi­ dualität in messbare Daten.1 Das ist für Unternehmen wirtschaftlich nützlich.2 Zwar lassen sich viele Auswertungen des Verhaltens von Konsumenten und Kunden vorerst anonymisieren. Die gewonnenen Erkenntnisse sollen aber wieder auf natürliche Personen angewendet werden und müssen dadurch wieder personalisiert werden. Die weitestgehende Personalisierung ist ein Persönlichkeitsprofil. Bei Finanz- oder Versicherungsprodukten besteht der Nutzwert von Persönlichkeitsprofilen etwa darin, dass Unternehmen durch genaueste Kenntnis des Abnehmenden ihr Ausfall- oder Verlustrisiko minimieren können.3 Kreditrahmen können der Wirtschaftskraft des Kreditnehmers genauer entsprechen und Versicherungspolicen sich zuverlässiger an dem Risikograd des Versicherungsnehmers ausrichten.4 Konsumprodukte können, unter dem Stichwort „User Experience“ (UX), mit Persönlichkeitsprofilen den Kundenwünschen besser angepasst werden.5 Je mehr den individuellen Vorstellungen bestehender oder potenzieller Kunden entsprochen werden kann, desto höher ist die Absatzwahrscheinlichkeit.6 Vor allem aber ermöglicht die Kenntnis der Persönlichkeit effektivere und effizientere Werbung.7 Exakte Platzierung vermeidet beim Adressaten Irritationen, gewinnt an Informationsgehalt und steigert so die positive Einstellung zur Werbung. Gleichzeitig werden die Kosten für Fehlplatzierungen, die durch einen falschen Empfängerkreis oder ein unpassendes Produkt entste1  Vgl. 2  Vgl.

Jandt/Laue, K&R 316, 317. Jandt/Laue, K&R 316, 318; Individualisierung und Datenschutz/Schwenk,

S.  2 f. 3  Taeger, ZRP 2016, 72, 73. 4  Vgl. etwa das Unternehmen ZestAI (https://www.zest.ai, zuletzt abgerufen am 17.05.2022). 5  Wybitul DS-GVO/Draf, Art. 21, 22 Rn. 16. 6  Individualisierung und Datenschutz/Schwenke, S. 40. 7  Krüger/Maucher, MMR 2011, 433, 433; Kugelmann, DuD 2016, 566, 566.

24

B. Akkumulation, Bildung und Verwendung von Persönlichkeitsprofilen

hen, gesenkt.8 Die Essenz guten Marketings lässt sich wie folgt zusammenfassen: „Richtige Botschaft, richtige Person, richtige Zeit!“.9 Dann können nicht nur neue Käufer geworben („Konversion“), sondern auch bereits bestehenden Kunden weitere („Cross-selling“) oder teurere („Up-selling“) Produkte verkauft werden. Unter dem Begriff „Performance-Marketing“ werden informationstechnische Lösungen entwickelt, die solche Interaktionen mit potenziellen oder bereits gebundenen Kunden messbar machen.10 So konnte etwa festgestellt werden, dass 80 % der Kaufentscheidungen bei Google beginnen.11 Google betreibt zudem den meistgenutzten öffentlichen DNSDienst,12 was bedeutet, dass beinahe jeder Webseitenaufruf bei dem Unternehmen Spuren hinterlässt. Für die Konversionsrate ist Google also eine Schlüsselstelle. Die Stammkundenbindung, auf die Cross- und Up-sellingStrategien wiederholt angewandt werden können, sehen 81 % aller CMOs (Chief Marketing Officer) als ihre wichtigste Aufgabe an.13 Das Kunden­ erlebnis soll durch bessere Kauferfahrung gesteigert werden (Customer Experience Management (CEM)). Es muss aus Unternehmenssicht auch untersucht werden, wie genau die für die Kaufentscheidung wichtigen Markenbilder entstehen, um dann einen gewünschten Einfluss nehmen zu können.14 Personalisierte Werbung und Produkte setzen Ansammlungen persönlicher Daten voraus. Dabei gilt, dass der Nutzen von Persönlichkeitsprofilen mit der Menge und der Qualität vorhandener Daten steigt.15 Das kann etwa durch Ausweitung der eigenen Datenerhebung und -analyse oder der Einbindung von Datensätzen anderer Unternehmen erreicht werden. Insbesondere sogenannte Data-Warehouses halten personenbezogene Daten und Profile vor, um sie an andere Unternehmen weiterzuverkaufen.16 Weil viele Aspekte unseres Lebens kommerzialisiert werden können, ist ein Persönlichkeitsprofil, das möglichst jeden Aspekt des Lebens des Betroffenen widerspiegelt, für einen 8  Forgó/Helfrich/Schneider (2. Aufl.)/Habel/Müller, Teil X Kapitel 3 Rn. 3; XamitStudie Webstatistiken, S. 1. 9  https://www.thinkwithgoogle.com/intl/de-de/zukunft-des-marketings/management-und-unternehmenskultur/vielfalt-und-inklusion/das-geheimnis-des-richtigenzeitpunkts/, zuletzt abgerufen am 17.05.2022. 10  https://de.wikipedia.org/wiki/Performance-Marketing, zuletzt abgerufen am 17.05.2022. 11  Hannig, in: marconomy.de vom 03.03.2016. 12  https://de.wikipedia.org/wiki/Google_Public_DNS, zuletzt angerufen am 17.05.2022. 13  Vgl. Streif, in: acquisa, Vol. 63, Heft 03/2016, S. 56; bereits Individualisierung und Datenschutz/Schwenke, 2006. 14  Vgl. Streif, in: acquisa, Vol. 63, Heft 03/2016, S. 56. 15  Vgl. Forgó/Helfrich/Schneider (2. Aufl.)/Habel/Müller, Teil X Kapitel 3 Rn. 16. 16  Vgl. Simitis BDSG/Dammann, § 3 Rn. 72; Weichert, ZD 2013, 251, 252.



II. Akkumulierung durch Digitalisierung25

Marktteilnehmer von hohem Wert. Aber selbst die Sammlung nicht-personenbezogener Daten ist von Nutzen, da sie etwa durch statistische Analyse zur Entwicklung von Marketing- und Produktstrategien beitragen kann. Kurzum, die gesamte Konsumentenbeziehung, das Finanz- und das Versicherungsscoring sind auf der Verwendung von Daten aufgebaut.17 Und hierbei handelt es sich um einen stark blühenden Geschäftsbereich: Die Menge der Konsumentendaten steigert sich so schnell, dass der globale Big-Data-Markt bis 2025 auf beinahe 230 Mrd. USD wachsen wird.18 Personenbezogene Daten können aber nicht nur wirtschaftlich, sondern auch politisch wertvoll sein. Einsatz und Wirkung von Verarbeitungen zu politischen Zwecken sind zwar weniger bekannt als Verarbeitungen im wirtschaftlichen Kontext. Dass Datenverarbeitungen einen Einfluss auf den politischen und demokratischen Prozess haben, wird aber angenommen.19 Durch Voter Targeting, also dem individuellen Ansprechen von Wählenden, sollen Wahlen bereits beeinflusst worden sein, wie etwa die US-Präsidentschaftswahl von 2016.20

II. Akkumulierung durch Digitalisierung 1. Kontext Die Daten, nach denen aus wirtschaftlichen oder politischen Gründen verlangt wird, können überhaupt gesammelt werden, weil unser Leben digitalisiert ist. Es werden massenweise verschiedenste Handlungen vorgenommen, mit denen persönliche Informationen preisgegeben werden.21 Der Tag wird mit Desktop-PCs, Laptops und Tablets bestritten. Wir tragen Smartphones und -watches überall hin, bewegen uns in datensammelnden Autos und trei17  Vgl.

Härting, ITRB 2016, 209, 209.

18  https://www.bloomberg.com/press-releases/2020-03-13/big-data-market-worth-

229-4-billion-by-2025-exclusive-report-by-marketsandmarkets?gclid=CjwKCAjw9M uCBhBUEiwAbDZ-7jNAAmrXnNPUmzEEgamzeJKY1uwYIDgyQqoh2ftGuT 72yU6GfGmLYhoCPDcQAvD_BwE, zuletzt abgerufen am 17.05.2022. 19  Weichert, ZD 2013, 251, 253 ff. 20  https://web.archive.org/web/20170127181034/https://www.dasmagazin.ch/2016/ 12/03/ich-habe-nur-gezeigt-dass-es-die-bombe-gibt/; https://www.theguardian.com/ us-news/2020/sep/28/trump-2016-campaign-targeted-35m-black-americans-to-deterthem-from-voting; https://www.theguardian.com/uk-news/cambridge-analytica alle zuletzt abgerufen am 17.05.2022. 21  Siehe zur Illustration der Datenkategorien Bericht des World Economic Forum „Personal Data: The Emergence of a New Asset Class, S. 14 f., unter http://www3. weforum.org/docs/WEF_ITTC_PersonalDataNewAsset_Report_2011.pdf, zuletzt abgerufen am 17.05.2022; siehe auch Karg, ZD 2012, 255, 257 f.; Weichert, ZD 2013, 251, 252.

26

B. Akkumulation, Bildung und Verwendung von Persönlichkeitsprofilen

ben Sport mit messenden Fitnessarmbändern. Im zukünftigen Smarthome hören schon jetzt Fernseher und Bestellgeräte wie Amazons „Echo“ oder Googles „Nest“ jederzeit mit. Alles ist mit dem Internet verbunden. Auf den Geräten laufen und nutzen wir verschiedene Programme, die häufig von unterschiedlichen Herstellern stammen und Inhalte aus vielfältigen Quellen anbieten und im Gegenzug unsere Daten an sie zurück übermitteln. Dabei machen wir im Kern oft dasselbe, greifen auf die gleichen Inhalte zu oder kommunizieren mit denselben Menschen. Je häufiger wir aber dieselben Dienste nutzen, desto mehr Informationen sammeln sich bei ihnen.22 Darüber hinaus werden sie oft mit Dritten verknüpft. Auf 78 % aller deutschen ­Webseiten23 sind etwa Programme von Google, wie „Google Analytics“,24 „Google Tag Manager“,25 „googleusercontent“ oder auch der Like-Button von Facebook eingebunden. Cookies stammen zu 70 % gar nicht von den Erstellern der Internetseite, sondern von Drittanbietern.26 Man ist durchschnittlich für jede gezielt besuchte Seite mit 2,3 Seiten von Drittanbietern verbunden.27 Ein Zusammenführen unterschiedlicher Daten ist zwar schwierig, bedeutet aber ein enormes Potenzial für die Bildung eines lückenlosen Profils. Dessen Qualität steigt mit der Menge der zur Verfügung stehenden Informationen. Beispielsweise lässt sich das Zahlungsverhalten des Kunden eines Webshops besser beurteilen, wenn man sein Zahlungsverhalten bei anderen Webshops kennt.28 Für die Bewertung seines Zahlungsverhaltens können Daten beider Quellen vereint werden. Der größte Sammler von Daten hat so den größten Marktvorteil. Dementsprechend gibt es Unternehmen, die Daten erheben und sie einzeln oder zusammengefasst weiterschicken, solche, die die Datenbanken betreiben und solche, die sie als Endkunden nutzen, etwa für Werbung oder Finanz-Scoring.29 All diese Daten werden akkumuliert.30 Dieser Begriff soll verdeutlichen, dass möglichst viele Daten von möglichst vielen und möglichst verschiedenen Quellen an einer Stelle zusammengeführt werden und es sich hierbei um

22  Anschaulich: https://labs.rs/en/browsing-histories/, zuletzt abgerufen am 17.05.2022. 23  Xamit-Studie Webstatistiken, S. 10. 24  Vgl. https://www.google.com/analytics/, zuletzt abgerufen am 17.05.2022. 25  Vgl. http://www.google.com/tagmanager/, zuletzt abgerufen am 17.05.2022. 26  Rauer/Ettig, ZD 2015, 255, 256; Anschaulich Ott, MMR 2009, 448, 449 f. 27  Im Eigenversuch gemessen mit „Lightbeam“, einem Addon für den Browser Mozilla Firefox; https://de.wikipedia.org/wiki/Lightbeam, zuletzt abgerufen am 17.05.2022. 28  Moos/Rothkegel, ZD 2016, 561, 561. 29  Beispielsweise: http://www.acxiom.de/, zuletzt abgerufen am 17.05.2022. 30  Vgl. Surveillance Capitalism/Zuboff, S. 71.



II. Akkumulierung durch Digitalisierung27

einen fortlaufenden, sich selbst steigernden Vorgang handelt.31 Ihn bloß als „Datensammlung“ zu bezeichnen, würde weder der Dimension noch dem Potenzial gerecht werden. Akkumulationstechniken sind sehr zahlreich und vielfältig, eine abschließende Behandlung würde jeden Rahmen sprengen. Eine systematische Auswertung aller bekannten Webseiten und Anwendungen und der von ihnen verwendeten Techniken wurde weder in der informationstechnischen noch der juristischen Wissenschaft unternommen. Eine Annäherung ist aber möglich, wenn man sich auf die Funktionsweise des Internets stützt. Die Grundlage der Zusammenführung der verschiedenen Informationen und Kategorien von Daten kann als „Tracking“ bezeichnet werden. Dabei wird der Betroffene über mehrere Webseiten hinweg verfolgt, also beobachtet, welche Seiten er wann und wie lange besucht hat. Ohne Tracking wäre jedem Webseiten-Betreiber nur bekannt, inwieweit der Betroffene die eigene Webseite nutzt. Im weiteren Sinn können mit Tracking noch weitere Daten, etwa über Interaktionen mit der Webseite oder die Benutzung sonstiger Computer-Programme oder Smartphone-Apps erfasst werden. Die so gesammelten Daten müssen nicht ausschließlich Kundendaten sein.32 Auch Informationen über Nicht-Kunden sind von Wert, weil sie erkennen lassen, warum Produkte nicht ansprechend erscheinen, beziehungsweise an welchem Punkt sie es werden. Jedes Datum jeder Person enthält unternehmerisches Kapital. Jeder Lebensbereich hinterlässt online Spuren. Mit moderner Technik werden diese Spuren sichtbar. Im Folgenden wird daher versucht, die Techniken der Akkumulation zu beschreiben und Beispiele zu benennen. 2. Techniken der Akkumulation a) ISPs Das Internet als Kommunikationsnetz wird in weiten Teilen von ISPs (­Internet Service Provider) betrieben. Diese verfügen, um die Online-Verbindung herstellen zu können, über sämtliche Randdaten des Verkehrs ihrer Kunden. Randdaten lassen erkennen, welche IP (Internet Protocol)-Adresse die Verbindungsteilnehmer haben, wo sie sich befinden, wann und wie lange die Verbindung besteht und wie viele Daten übertragen wurden.33 Jedes Endgerät besitzt zudem eine individuelle MAC (Media Access Control)-Adresse, welche unter Umständen ausgelesen werden kann. Damit sitzen ISPs an einer Schlüsselposition der Datenverarbeitung. 31  Vgl.

Data Love/Simanowski, S. 46. Becker/Becker MMR 2012, 351, 352 f. 33  Vgl. Spindler/Schuster TKG/Ricke, § 3 Rn. 58; Anschaulich: Meyerdierks, MMR 2009, 8, 8 f. 32  Vgl.

28

B. Akkumulation, Bildung und Verwendung von Persönlichkeitsprofilen

b) Server Die Endgeräte, beziehungsweise die auf ihnen ausgeführte Software, werden im Kommunikationskontext auch Clients genannt und kommunizieren beim Aufrufen von Webseiten oder Anwenden von internetgestützten Programmen mit Servern. Die Server verfügen, als Verbindungsteilnehmer, über die Randdaten34 der einzelnen Verbindungssitzungen. Einzeln betrachtet weisen die Randdaten keinen oder einen zu losen Personenbezug auf, als dass sich kommerziell verwertbare Erkenntnisse über die Persönlichkeit gewinnen ließen. Diese werden erst ermöglicht, wenn man sie mit Daten, die den Nutzer identifizieren und sein persönliches Verhalten über einen längeren Zeitraum widerspiegeln, kombiniert. Dafür wurden vielfältige technische Lösungen entwickelt. c) Cookies Eine seit mehr als 20 Jahren eingesetzte Technik sind sogenannte Cookies. Sie ermöglichen die Wiedererkennung von Benutzern. Sie werden in Textform im HTTP Header35 vom Server übertragen. HTTP-Cookies werden auf dem Computer gespeichert und über den Browser manuell verwaltet.36 Welche Informationen sie enthalten, hängt von ihrer Programmierung ab. Das können etwa Daten über Computer und Browser wie Betriebsversionsnummer, Sprache, Uhrzeit und Standort, Passwörter, Zahlungsinformationen und auf der Webseite angeklickte Flächen sein.37 Cookies verschiedener Art und Quelle werden miteinander kombiniert. So werden bei einer als „Cookie Syncing“ oder „Cookie Matching“ bekannten Technik Nutzungsdaten verschiedener Cookies unter einem Pseudonym zusammengeführt. Sie werden dann sowohl mit den eigenen Datenbanken des Cookie-Platzierenden als auch mit denen externer Dritter abgeglichen werden.38 Einer Studie zufolge kann durch die Verbindung von Cookie-Daten von 101 Internet-Domains39 über 50 % der Surfgeschichte eines Benutzers rekonstruiert werden – eine 34  Siehe

unten Abschnitt C.I.1.a)aa)(3)(d). dient als „Hypertext Transfer Protocol“ der Darstellung von Webseiten im Browser. Zu diesem Zweck enthält der für den Datenaustausch notwendige HTTP Header eine Wiedergabe aller vom Server angefragten Daten. 36  Xamit Datenschutzbarometer 2015, S. 47. 37  Vgl. Becker/Becker, MMR 2012, 351, 351. 38  The Web Never Forgets/Acar/Eubank/Englehardt/Juarez/Narayanan/Diaz, S.  2 f., 8 f. 39  Eine Domain ist ein Teilbereich des „Internet Domain Systems“ (DNS), das hierarchisch die namentliche Adresse von Webseiten regelt. 35  HTTP



II. Akkumulierung durch Digitalisierung29

Technik, die von den 100 beliebtesten Webseiten angewendet wird.40 Eine Weiterentwicklung stellen sogenannte „Super Cookies“ dar. Sie werden beispielsweise vom US-amerikanischen ISP Verizon eingesetzt und fügen dem HTTP-Header jeder Webseite, die ein Verizon-Kunde ansteuert, eine persönliche Kennung hinzu. Dadurch bildet der ISP das komplette Surfverhalten ab und zwar mit einer Kennung, die jeder Webseitenbetreiber auslesen kann.41 Eine andere Variante namens „Evercookies“ umgeht eine Löschung durch den Benutzer, indem die Cookies auf mehrere technische Arten lokal gleichzeitig gespeichert werden.42 Löscht der Benutzer einen Cookie, bleibt er weiterhin identifizierbar. Die Löschung kann sogar durch Wiederherstellung aus anderen Speicherquellen rückgängig gemacht werden.43 Eine Alternative dieser auch als „Cookie Respawning“ bezeichneten Technik ist es, die SurfGeschichte eines Benutzers vor und nach individueller Cookie-Löschung abzugleichen und so zu re-identifizieren.44 Diese Technologie wird auf 5 % der 200 beliebtesten Webseiten eingesetzt.45 d) Skripte Skripte sind in Webseiten eingebundene, unabhängige Programme und bieten noch vielfältigere Möglichkeiten der Profilerstellung und der Datenzusammenführung als Cookies. Sie zeichnen das Nutzerverhalten auf den einbindenden Webseiten auf. Solche Skripte werden häufig als Webstatistiken (auch Web Tracking, Web Analyse oder Web Controlling genannt) eingesetzt. Sie sammeln etwa Daten über Maus-Aktionen46, Browser (einschließlich installierter Plugins, Schriftarten), Bildschirmgrößen, Zeitzone, das Betriebssystem und die IP-Adresse. Die Zusammengehörigkeit der Daten untereinander oder des gesamten Datensatzes zu anderen Datensätzen kann auf zwei Arten hergestellt werden: durch Schaffung einer Kennung, die sich aus den Daten über den Browser ergibt (sog. Browser-Fingerprinting) oder durch ei40  The

10.

Web Never Forgets/Acar/Eubank/Englehardt/Juarez/Narayanan/Diaz, S. 4,

41  Xamit Datenschutzbarometer 2015, S. 56 f.; http://www.heise.de/security/mel dung/Supercookie-US-Provider-Verizon-verkauft-Daten-ueber-seine-Kunden-2437 242.html, zuletzt abgerufen am 17.05.2022. 42  Über einen Solchen des Unternehmens KISSmetrics wurde ein Vergleich ­geschlossen (https://www.lawyersandsettlements.com/settlements/16962/kissmetricsagrees-settlement-in-etags-wiretap-class.html, zuletzt abgerufen am 17.05.2022). 43  The Web Never Forgets/Acar/Eubank/Englehardt/Juarez/Narayanan/Diaz, S. 3, 7. 44  The Web Never Forgets/Acar/Eubank/Englehardt/Juarez/Narayanan/Diaz, S. 2. 45  The Web Never Forgets/Acar/Eubank/Englehardt/Juarez/Narayanan/Diaz, S. 2. 46  https://en.wikipedia.org/wiki/Clickstream, zuletzt abgerufen am 17.05.2022.

30

B. Akkumulation, Bildung und Verwendung von Persönlichkeitsprofilen

nen Cookie mit Cookie-ID.47 Die Daten werden dann in einem Nutzungs­ profil zusammengeführt.48 Dieses wird in der Regel anonymisiert oder pseudonymisiert und vom häufig externen Anbieter der Webstatistik-Lösung an den Betreiber der Webseite weitergeleitet. Die spezialisierten Webstatistikanbieter können ihr Programm dabei auf gleich mehreren Webseiten aktiv werden lassen. Das ermöglicht technisch ihrem Betreiber eine Anreicherung des Profils mit vielen verschiedenen Daten, die an Abnehmer weitergeleitet werden können.49 Das ist kein einmaliger Vorgang, sondern ein andauernder Datenstrom, der Nutzerdaten eines längeren Zeitraums wiedergibt.50 Google bietet, teilweise unentgeltlich,51 solche Lösungen an und betreibt bei einem Marktanteil von ca. 80  % auch den eindeutigen Marktführer „Google Analytics“.52 Dieses Programm erhält bei Ausführung auf einer Webseite von den Google-Servern einen Tracking-Code. Es sendet dann die Maus-Aktio­ nen,53 IP-Adresse, URL und Browser- sowie Cookie-Daten an Google. Dieser Datensatz dient in weiteren Schritten als Pseudonym, welches auf anderen Internetseiten mit „Google Analytics“ wiedererkannt werden kann.54 e) Plugins Plugins sind Programme, die als Modul in Webseiten eingebunden werden. Als externe Software leiten sie Daten darüber, auf welchem Gerät sie wo und mit welchem Browser geladen wurden, an Drittanbieter weiter. Zusätzlich offenbaren „Social Plugins“ Unternehmen wie Facebook oder Google, welche Mitglieder ihrer sozialen Netzwerke welche Seiten wann und wie besuchen.55 Durch „liken“ erfahren sie darüber hinaus auch inhaltlich von den Vorlieben der Nutzer.

47  Vgl.

S. 1.

Xamit Datenschutzbarometer 2015, S. 5; Xamit-Studie Webstatistiken,

48  Xamit-Studie

Webstatistiken, S. 1. Xamit Datenschutzbarometer 2015, S. 4. 50  Vgl. Xamit Datenschutzbarometer 2015, S. 5; http://www.heise.de/newsticker/ meldung/Werbenetzwerk-Zanox-setzt-auf-Browser-Fingerprinting-1962527.html, zuletzt abgerufen am 17.05.2022. 51  Vgl. Punkt 2 der Google Analytics Bedingungen, abrufbar unter http://www. google.com/analytics/terms/de.html, zuletzt abgerufen am 17.05.2022. 52  ULD Schleswig-Holstein, https://www.datenschutzzentrum.de/artikel/580-Daten schuetzer-pruefen-Google-Analytics.html, zuletzt abgerufen am 17.05.2022; XamitStudie Webstatistiken, S. 10. 53  Clickstream, hier sogenanntes „site overlay“. 54  Forgó/Helfrich/Schneider (2. Aufl.)/Habel/Müller, Teil X Kapitel 3 Rn. 23. 55  WP 194, S. 8 f. 49  Vgl.



II. Akkumulierung durch Digitalisierung31

f) Device Fingerprinting „Device Fingerprinting“ ist eine Technik, die die Wiedererkennung von Benutzern beim Besuchen verschiedenster Webseiten ermöglicht. Dies geschieht durch die Kombination von grundsätzlich nicht-personenbezogenen Datensätzen verschiedener Geräte oder Anwendungen. Der Personenbezug wird hergestellt, indem die Datensätze identifiziert, verknüpft und analysiert werden. Zu den Daten gehören unter anderem Uhrzeit, Schriftarten, Plugins, JavaScript-Objekte (z. B. darin verwendete Sprache, Dokumente oder Fenster), HTTP Header und API-Benutzungsdaten56.57 Je mehr Daten für den Fingerabdruck verwendet werden, desto kleiner wird der Kreis der Geräte oder Anwendungen, von denen die Daten stammen könnten, bis sich schließlich einzelne Geräte zweifelsfrei ausmachen lassen.58 Über speziell darauf ausgelegte APIs oder Skripte, die mit der Webseite geladen und ausgeführt werden und bestimmte Informationen senden, lässt sich diese Methode ausbauen.59 Sie hat den Vorteil, dass keine Dateien auf den Geräten des Benutzers gespeichert werden und der Fingerabdruck von jedem ausgelesen werden kann. Das oben erwähnte „Google Analytics“ setzt auch Device Fingerprinting ein. Eine eng verwandte Spielart ist das auf 5,5 % der 100.000 beliebtesten Webseiten gefundene Canvas Fingerprinting.60 Dabei werden über Java­ Script im Browser bestimmte Pixelgrafiken versteckt, die für das menschliche Auge unsichtbar sind. Als „Fingerabdruck“ können die nachfolgend besuchten Webseiten mit 89-prozentiger Erfolgsrate wiedererkannt werden.61 Durch derartiges Verfolgen lassen sich umfangreiche Benutzungsprofile erstellen. Zu 95 % stammt diese Technik vom Anbieter „Addthis“,62 der 97,2 % aller Internetnutzer in den USA erreicht.63 Google verwendet nach eigenen Anga-

56  API, „Application Programming Interface“, ist eine Programmierschnittstelle, die etwa anderen Entwicklern als den Programmurhebern ermöglicht, ihrerseits Programme in die Hauptanwendung einzubinden. 57  WP 224, S. 4 f. 58  Vgl. WP 224, S. 5 f.; https://panopticlick.eff.org/about#browser-fingerprinting, zuletzt abgerufen am 17.05.2022; eine mathematische Erklärung bietet: https://www. eff.org/deeplinks/2010/01/primer-information-theory-and-privacy, zuletzt abgerufen am 17.05.2022. 59  WP 224, S. 6 f. 60  The Web Never Forgets/Acar/Eubank/Englehardt/Juarez/Narayanan/Diaz, S. 5. 61  The Web Never Forgets/Acar/Eubank/Englehardt/Juarez/Narayanan/Diaz, S. 2; Xamit Datenschutzbarometer 2015, S. 56; http://www.heise.de/ct/ausgabe/201418-Browserprofile-mit-Canvas-Fingerprinting-2283693.html#literaturverzeichnis, zuletzt abgerufen am17.05.2022. 62  The Web Never Forgets/Acar/Eubank/Englehardt/Juarez/Narayanan/Diaz, S. 5. 63  The Web Never Forgets/Acar/Eubank/Englehardt/Juarez/Narayanan/Diaz, S. 7.

32

B. Akkumulation, Bildung und Verwendung von Persönlichkeitsprofilen

ben sog. „Pixel Tags“.64 Dabei wird beim Aufrufen einer Webseite oder ­E-Mail eine unsichtbare Grafik, regelmäßig von der Größe eines Pixels, he­ runtergeladen. Dadurch erhält der Betreiber Informationen über das herunterladende Client-Gerät. Mehrmaliges herunterladen, etwa durch wiederholtes Aufrufen, wird durch einen Zähler registriert. Dadurch kann ein Besucherprofil auch über mehrere Webseiten hinweg erstellt werden.65 g) Sound Beacon Beim „Sound Beacon“ (sog. Cross-Device Tracking)66 senden akustische Werbeeinheiten, etwa im Fernsehen, Radio oder Browser, einen individuellen, hochfrequenten und für Menschen unhörbaren Ton mit. Dieser kann von einer Software registriert und einem Profil zugeführt werden. Derartige Software wird ohne entsprechende Kennzeichnung in Apps integriert. Es ist eine der wenigen Möglichkeiten, Daten über den Nutzer zu erhalten, ohne an das von ihm unmittelbar benutzte Gerät gebunden zu sein. So kann zum einen rekonstruiert werden, wie lange die Werbung gesehen wurde. Zum anderen kann durch gegenseitiges Aussenden und Empfangen des unhörbaren Tones ermittelt werden, welche Geräte des Betroffenen sich in physischer Nähe zueinander befinden.67 Außerdem kann die Technik Geräte-ID, MAC-Adresse und Telefonnummer auslesen.68 Ihr Einsatz ist nicht für den Betroffenen erkennbar und fortlaufend. 64  Google Datenschutzerklärung, Punkt „Von Google erhobene Daten“, Stand 10.02.2022 (https://www.google.com/intl/de/policies/privacy/#content, zuletzt abgerufen am 17.05.2022). 65  https://de.wikipedia.org/wiki/Z%C3%A4hlpixel, zuletzt abgerufen am 17.05.2022; https://www.google.com/intl/de/policies/privacy/key-terms/#toc-terms-pixel, zuletzt abgerufen am 17.05.2022. 66  Ein Anschauungsbeispiel findet sich auf Center for Democracy and Technology, Comments on Cross-Device Tracking to the Federal Trade Commission (16.10.2015), S. 8 (abrufbar unter https://cdt.org/files/2015/10/10.16.15-CDT-Cross-Device-Com ments.pdf, zuletzt abgerufen am 17.05.2022). 67  Vgl. Center for Democracy and Technology, Comments on Cross-Device Tracking to the Federal Trade Commission (16.10.15), S. 2 (https://cdt.org/files/2015/ 10/10.16.15-CDT-Cross-Device-Comments.pdf, zuletzt abgerufen am 17.05.2022); Xamit Datenschutzbarometer 2015, S. 6; http://arstechnica.com/tech-policy/2015/11/ beware-of-ads-that-use-inaudible-sound-to-link-your-phone-tv-tablet-and-pc/, zuletzt abgerufen am 17.05.2022; http://www.heise.de/newsticker/meldung/DatenschutzWerbe-Tracker-ueberwinden-Geraetegrenzen-2921817.html, zuletzt abgerufen am 17.05.2022. 68  Xamit Datenschutzbarometer 2015, S. 6; http://www.heise.de/newsticker/mel dung/Werbenetzwerk-Zanox-setzt-auf-Browser-Fingerprinting-1962527.html, zuletzt abgerufen am 17.05.2022; http://www.heise.de/security/meldung/Avira-stuft-WerbeLauscher-Silverpush-als-Malware-ein-3015919.html, zuletzt abgerufen am 17.05.2022.



III. Bildung von Persönlichkeitsprofilen33

3. Syntaktische und semantische Daten Die Daten, die die oben beschriebenen Techniken der Akkumulation hervorbringen, sind sogenannte syntaktische Daten. Das sind die Informationen „an sich“, die Text, Bild oder Ton bilden.69 Sie werden vorwiegend von Maschinen erzeugt und gelesen. Hingegen sind semantische Informationen Inhaltsdaten, also die Aussagen, die Text, Bild oder Ton beinhalten.70 Bei der Akkumulation werden vorwiegend syntaktische Daten gesammelt, da diese leicht maschinell und damit in großem Umfang verarbeitet werden können. Semantische Informationen können sowohl direkt gesammelt als auch indirekt aus syntaktischen Daten gewonnen werden.71 Dies stellt ein wesentliches Element der Bildung von Persönlichkeitsprofilen dar.

III. Bildung von Persönlichkeitsprofilen 1. Herkömmliche Profildefinitionen Herkömmlicherweise wird zwischen Nutzungsprofilen, expliziten und prädiktiven Profilen unterschieden. Nutzungsprofile sind Datensammlungen zum Verhalten von Nutzern in bestimmten Kontexten. Gängige Datenkategorien sind Kundenstammdaten, Bewegungs- oder Transaktionsdaten sowie Onlinenutzungsdaten. Die persönliche Zuordnung der Kategorien zu Individuen ist dabei nicht jedem möglich. Für Unternehmen sind Kundenstammdaten individualisiert, die darüber hinaus lange unverändert bleiben können und deswegen besonders wertvoll sind. Hierzu gehören insbesondere Vor- und Nachname, Geburtsdatum, Postund E-Mail-Adresse, Telefonnummer und Familienstand.72 Transaktionsdaten beinhalten Verkäufe und ob sie abgebrochen, abgeschlossen oder rückgängig gemacht wurden.73 Online-Nutzungsdaten listen aufs Genaueste die Verwendung von Geräten, Programmen oder Webseiten auf.74 Sie bezeichnen etwa Bildschirmauflösung, Browser, Betriebssystem und Hardware, aber auch Verkehrs- und Standortinformationen.75

Competitive Markets, S. 12. Competitive Markets, S. 12. 71  Vgl. Drexl, Competitive Markets, S. 16. 72  Vgl. Forgó/Helfrich/Schneider (2. Aufl.)/Habel/Müller, Teil X Kapitel 3 Rn. 5. 73  Forgó/Helfrich/Schneider (2. Aufl.)/Habel/Müller, Teil X Kapitel 3 Rn. 6. 74  Forgó/Helfrich/Schneider (2. Aufl.)/Habel/Müller, Teil X Kapitel 3 Rn. 7. 75  Zur Illustration: http://www.zeit.de/datenschutz/malte-spitz-vorratsdaten, zuletzt abgerufen am 17.05.2022; https://netzpolitik.org/2014/metadaten-wie-dein-unschuldi 69  Drexl, 70  Drexl,

34

B. Akkumulation, Bildung und Verwendung von Persönlichkeitsprofilen

Prädiktive Profile dienen dazu, Eigenschaften einer Person zu prognostizieren.76 Diese können Produktvorlieben, zukünftiges Kaufverhalten oder sonstige Interessen betreffen und basieren auf einer individuellen oder kollektiven Beobachtung des Nutzerverhaltens.77 Sie eignen sich etwa als Grundlage für personalisierte Werbung oder Finanzscoring. Explizite Profile hingegen bestehen aus Daten, welche die Person selbstständig und bewusst geliefert hat.78 Zusammenfassend wird deutlich, dass die hier beschriebenen, herkömmlichen Profile keine Persönlichkeitsprofile sind. Weder bilden sie ihrem Umfang nach die Persönlichkeit einer Person ab noch haben sie diesen Anspruch. Dies gilt auch, wenn verschiedene Nutzungsprofile am selben Ort gespeichert sind. Dann handelt es sich, unabhängig von ihrer Größe, um eine bloße Datensammlung,79 nicht um ein Persönlichkeitsprofil. 2. Persönlichkeitsprofile Persönlichkeitsprofile bestehen aus der Zusammenführung vieler verschiedener Daten, ihrer Verknüpfung, der Generierung neuer Daten und der Bewertung von Aspekten einer Persönlichkeit. Da sich dies bei traditionellen Profilkategorien nicht wiederfindet, ist von einer Profilart sui generis zu sprechen. a) Zusammenführung vieler verschiedener Daten Die Bildung von Persönlichkeitsprofilen wird durch eine Zusammenführung und Strukturierung von Daten und Datensammlungen charakterisiert, durch die das Persönlichkeitsprofil entsteht. Entscheidend sind zunächst Umfang und Diversität der Daten. Um die Persönlichkeit einer Person abbilden zu können, sind sehr viele und sehr viele verschiedene Daten notwendig. Durch die Kombination verschiedener Daten aus verschiedenen Quellen lässt sich dann immer genauer die Persönlichkeit eines Menschen abbilden. Persönlichkeitsprofile zeichnen sich also einerseits durch ihren Umfang aus, andererseits dadurch, dass sie mehrere verschiedene Datenkategorien zusam-

ges-smartphone-fast-dein-ganzes-leben-an-den-geheimdienst-uebermittelt/, zuletzt abgerufen am 17.05.2022. 76  Vgl. WP 171, S. 8. 77  Vgl. Härting, ITRB 2016, 209, 209. 78  WP 171, S. 8. 79  Jandt/Laue, K&R 2006, 316, 316 ff.; Individualisierung und Datenschutz/ Schwenke, S. 101.



III. Bildung von Persönlichkeitsprofilen35

menführen. Daher weisen Persönlichkeitsprofile den höchsten Informationsgehalt aller Profile auf.80 b) Verknüpfung von Daten Der Wert von personenbezogenen Daten ergibt sich erst aus ihrer Auswertung.81 Das bedeutet für die Bildung von Persönlichkeitsprofilen, dass die zusammengeführten Daten und Datensätze miteinander verknüpft, also demselben Betroffenen zugeordnet werden. So können beispielsweise ein Profil über die Nutzung einer Webseite mit einem aus Standortdaten bestehenden Bewegungsprofil verbunden werden. Je detaillierter das Abbild der Person wird, desto einfacher lassen sich ihr weitere Informationspunkte zuordnen. Enthält das Profil beispielsweise Daten zum Arbeitsplatz, lässt sich über das Bewegungsprofil feststellen, wie zuverlässig der Betroffene zur Arbeit erscheint. Mit jedem neu hinzukommenden Datum vergrößert sich also die Menge der möglichen Verknüpfungen. c) Generierung neuer Daten Entscheidend bei Persönlichkeitsprofilen ist, dass viele verschiedene Daten nicht nur verknüpft, sondern auch, dass auf Basis der Verknüpfung neue, verschiedene Aussagen zur Persönlichkeit des Betroffenen gemacht werden.82 Dies geschieht etwa im Rahmen „explorativer Statistik“. Dabei werden Daten nach Strukturen untersucht, auf deren Basis sich Grundgemeinsamkeiten der untersuchten Gruppe natürlicher Personen herstellen lassen. Im Rahmen einer „Interferenzstatistik“ werden diese Grundgemeinsamkeiten dann natürlichen Personen zugeordnet. Aus diesen Grundgemeinsamkeiten werden Schlussfolgerungen gezogen, beispielsweise über die zukünftige Zahlungsmoral.83 Bei ihnen handelt es sich mithin um prädiktive Einschätzungen.84 Solche prädiktiven Einschätzungen sind neu generierte Daten in semantischer Form.85 Abhängig von den akkumulierten Daten lassen sich Daten zu praktisch jedem Persönlichkeitsaspekt generieren.

80  Vgl.

Forgó/Helfrich/Schneider (2. Aufl.)/Habel/Müller, Teil X Kapitel 3 Rn. 12. S. 36. 82  Jandt/Laue, K&R 2006, 316, 317; Individualisierung und Datenschutz/ Schwenke, S. 95. 83  Richter, DuD 2016, 581, 582. 84  Jandt/Laue, K&R 2006, 316, 317. 85  Vgl. Drexl, Competitive Markets, S. 16, 21. 81  SWD,

36

B. Akkumulation, Bildung und Verwendung von Persönlichkeitsprofilen

d) Bewertung von Aspekten einer Person Ein Persönlichkeitsprofil kann sowohl zu mehreren Lebensbereichen einer Person Aussagen beeinhalten als auch zu einem einzelnen Lebensbereich sehr viele und tiefgreifende Angaben machen. Wie auch beim Umfang der Verknüpfung kann nicht ein fester Schwellenwert ausgemacht werden, ab dem Daten, Verknüpfungen und Generierungen ein Persönlichkeitsprofil bilden.86 Festlegen lassen sich aber abstrakte Merkmale. Ein Definitionsmerkmal ist, dass eine solche Datensammlung tiefgehende Aussagen zu mindestens zwei verschiedenen Aspekten einer Person enthält. Was die Persönlichkeit eines Menschen ausmacht, wird sich zwar kaum definieren lassen. Sie besteht aber jedenfalls aus mehreren Facetten oder Aspekten. Solche können etwa Geschmäcker, Gewohnheiten, Beziehungen, Meinungen oder moralische Werte sein. Regelbeispiele finden sich in Art. 4 Nr. 4 DS-GVO. Hier werden die wirtschaftliche Lage, persönliche Vorlieben oder die Zuverlässigkeit genannt. Sollten Informationen zu mehreren Personenaspekten in ein Profil aufgenommen werden, handelt es sich dabei um ein Persönlichkeitsprofil. Es eignet sich etwa ebenso für Werbung wie für Voter Targeting. Ein anderes Definitionsmerkmal ist die Tiefe der Analyse eines einzelnen Aspekts. Wenn man sehr viele und diversifizierte Informationen zu einer Person hat, lassen sich tiefschürfende Aussagen über einen Aspekt wie ihre Zuverlässigkeit machen. Da dies viel über die Person verrät, handelt es sich um ein Persönlichkeitsprofil. e) Autopoietisches System Zu den Persönlichkeitsaspekten werden nicht nur neue Daten generiert. Es können auch akkumulierte „Roh“-Daten selbst einem Aspekt zugeordnet werden. Dass „rohe“, also nicht durch weitere Verarbeitung „raffinierte“ Daten, Bestandteil des Persönlichkeitsprofils bleiben, bietet sich schon deshalb an, weil sie gegebenenfalls zu einem späteren Zeitpunkt bei neuer Verknüpfungsmöglichkeit oder neuer Analysemethode neue Erkenntnisse hervorbringen könnten. Letztendlich bestehen Persönlichkeitsprofile sowohl aus massenhaft syntaktischen, anonymen oder aggregierten Daten, aus massenhaft verknüpften, syntaktischen oder semantischen personenbezogenen Daten und Datensets sowie aus den neu generierten semantischen Daten zu Persönlichkeitsaspekten. Eine solche Informationshäufung lässt sich nicht nur vielseitig einsetzen oder verkaufen. Es steigert wiederum die Qualität der Querverglei86  Jandt/Laue,

K&R 2006, 316, 317.



IV. Verwendung von Persönlichkeitsprofilen37

che und damit der Analyseergebnisse selbst, insbesondere wenn die Informationen verschiedensten Lebensbereichen entstammen. Sie können sowohl mit akkumulierten Daten in Verbindung gebracht werden als auch mit anderen generierten Daten. Es werden neue Erkenntnisse gewonnen und alte reevaluiert. Es handelt sich hierbei um ein sich selbst verstärkendes, autopoietisches System. Ein solches System schafft die Bedingungen für seine Existenz aus sich heraus neu. Je besser die Bedingungen werden, desto besser wird das System. Es lebt von der fortlaufenden Selbst-Verarbeitung. Eine solche organische Struktur ist sogar darauf angewiesen, sich ständig zu verändern. Ohne ständige Selbst-Verarbeitung verliert es an Aussagekraft und damit seine Existenzberechtigung.

IV. Verwendung von Persönlichkeitsprofilen Die Persönlichkeitsprofile werden schließlich in einem auf die Akkumulierung und Profilbildung folgendem dritten Schritt verwendet. Verwendet werden sowohl die akkumulierten und verknüpften als auch die neu generierten Daten. Sie können dazu dienen, Produkte und Werbung individuell auf Personen zuzuschneiden, Profilscorewerte für Versicherungs- und Bonitätszwecke zu erstellen und Wähler gezielt anzusprechen. Den möglichen Anwendungsgebieten sind grundsätzlich keine Grenzen gesetzt; schließlich handelt es sich um sehr vielseitige Profile. Im weiteren Verlauf wird aber nur auf die Verwendung von Persönlichkeitsprofilen eingegangen, soweit sie zur Erstellung für Finanz- oder Versicherungsscoring, Werbung und Voter Targeting eingesetzt werden. Beim Scoring geht es um die Bildung eines Wahrscheinlichkeitswertes.87 Personen wird ein Score-Wert zugeordnet, wodurch mehrere Personen in Vergleichsgruppen zusammengefasst werden.88 Scoring hat seinen Ursprung in der Bewertung der Kreditwürdigkeit.89 Es wird aber auch bei der Beurteilung von Versicherungsrisiken, Bewerbern und Arbeitnehmern sowie dem Marketing eingesetzt.90 Weitere Scoring-Alternativen sind Antrags-Scoring, das im Sinne des § 28b BDSG a. F. für die Begründung von Vertragsverhältnissen Voraussetzung war,91 und Verhaltens-Scoring, was für die Durchführung von Verträgen relevant war.92 Für Scoring kann jede Art personenbezoZD 2016, 561, 567; Taeger, ZRP 2016, 72, 73. DuD 2017, 180, 180. 89  Eschholz, DuD 2017, 180, 180; Taeger, RDV 2017, 3, 3 f.; Moos/Rothkegel, ZD 2016, 561, 567. 90  Eschholz, DuD 2017, 180, 180; Taeger, RDV 2017, 3, 4. 91  Eschholz, DuD 2017, 180, 181. 92  Eschholz, DuD 2017, 180, 181. 87  Moos/Rothkegel, 88  Eschholz,

38

B. Akkumulation, Bildung und Verwendung von Persönlichkeitsprofilen

gener Daten verwendet werden; jedenfalls die besondere Bedeutung von Alter und Geschlecht ist bekannt.93 Bei der Verwendung von Persönlichkeitsprofilen für Finanz- oder Versicherungsscoring ist zu unterscheiden: Ein Scorewert kann entweder direkt aus akkumulierten Daten gebildet werden und als solcher gegebenenfalls Teil eines Persönlichkeitsprofils werden („Akkumulationsscore“). Alternativ ist es aber auch möglich, dass ein Scorewert erst aus einem Persönlichkeitsprofil gebildet wird, also nicht ausschließlich „rohe“, sondern insbesondere „raffinierte“ Profildaten verwendet („Profilscore“). Dadurch erhöht sich die Aussagekraft gegenüber dem herkömmlichen Akkumulationscore. Um einen solchen Profilscore geht es im Folgenden.

V. Einordnung als „Big Data“-Anwendung „Big Data“-Anwendungen sind von hoher gesellschaftlicher Aktualität, weil sie einerseits ein beträchtliches wirtschaftliches Potenzial haben und andererseits ein großes Risiko für die grundlegenden Rechte und Freiheiten natürlicher Personen darstellen. Auch im weiteren Verlauf dieser Untersuchung wird auf „Big Data“-Anwendungen Bezug genommen werden. „Big Data“-Anwendungen zeichnen sich dadurch aus, dass Daten in neuen Kontexten, also nicht denen in denen sie erhoben worden sind, verwendet werden.94 Dies ist der besondere Mehrwert, der sich aus Big Data ergibt.95 Er wird erreicht, indem die Auswertung verteilt und parallelisiert wird.96 Dadurch werden Verhaltensmuster und Wahrscheinlichkeitsprognosen über natürliche Personen erstellt.97 Je mehr Daten verwendet werden, desto größer ist der Big Data-Mehrwert (sog. „volume“-Merkmal).98 Er lässt sich weiter steigern, wenn die Daten möglichst verschieden sind (sog. „variety“Merkmal).99 Entscheidend ist außerdem, dass sie mit geringem zeitlichem

ZD 2016, 561, 561. ITRB 2015, 13, 17; Weichert, ZD 2013, 251, 252. 95  Zu den Anwendungsmöglichkeiten von Big Data: Weichert, ZD 2013, 251, 253. 96  Richter, DuD 2016, 581, 581. 97  Eschholz, DuD 2017, 180, 180; Richter, DuD 2016, 581, 581 f. 98  Vgl. Drexl, Competitive Markets, S. 13 f.; Eschholz, DuD 2017, 180, 180; Wybitul DS-GVO/Draf, Art. 21, 22 Rn. 2; Roßnagel, ZD 2013, 562, 564; https://gi.de/infor matiklexikon/big-data, abgerufen 17.05.2022. 99  Drexl, Competitive Markets, S. 13 f.; Eschholz, DuD 2017, 180, 180; Wybitul DS-GVO/Draf, Art. 21, 22 Rn. 2; https://gi.de/informatiklexikon/big-data, abgerufen 17.05.2022. 93  Moos/Rothkegel, 94  Koch,



V. Einordnung als „Big Data“-Anwendung39

Verzug verarbeitet werden (sog. „velocity“-Merkmal).100 Schließlich ist wichtig, dass die Daten wahrheitsgetreu sind (sog. „veracity“-Merkmal).101 Richter fügt dem noch das Merkmal der gewinnbringenden Nutzung („value“-Merkmal) hinzu.102 „Big Data“-Anwendungen basieren nach herkömmlichem Verständnis weitestgehend auf anonymen Daten, die als solche nicht der DSGVO unterliegen. Auch Persönlichkeitsprofile zeichnen sich dadurch aus, dass Daten außerhalb ihres ursprünglichen Kontextes verwendet werden, um neue Erkenntnisse zu gewinnen. Auch diese steigern sich, wenn viele („volume“), verschiedene („variety“), wahrheitsgetreue („veracity“) Daten gewinnbringend („value“) verarbeitet werden. Die Mehrwertgenerierung läuft gleich. Persönlichkeitsprofile sind daher „Big Data“-Anwendungen.

100  Vgl. Drexl, Competitive Markets, S. 14; Eschholz, DuD 2017, 180, 180; Wybitul DS-GVO/Draf, Art. 21, 22 Rn. 2, https://gi.de/informatiklexikon/big-data, abgerufen 17.05.2022. 101  Drexl, Competitive Markets, S. 15; Wybitul DS-GVO/Draf, Art. 21, 22 Rn. 2. 102  Richter, DuD 2016, 581, 581.

C. Deliktische Haftung Im Folgenden soll diskutiert werden, in welchem Umfang für die Akkumulierung personenbezogener Daten und die Bildung und Verwendung von Persönlichkeitsprofilen dem Betroffenen gegenüber deliktisch gehaftet wird. Hierfür war, bis zur Verabschiedung der DS-GVO, § 7 BDSG a. F. die zen­ trale Norm. Am 25. Mai 2018 wurde sie von Art. 82 Abs. 1 DS-GVO abgelöst. Danach hat der Betroffene einen Anspruch auf Schadensersatz für eine gegen die Verordnung verstoßende Verarbeitung personenbezogener Daten. Eine solche Verarbeitung könnte die Akkumulierung, die Bildung und die Verwendung von Persönlichkeitsprofilen darstellen. Als EU-Verordnung gilt die DS-GVO allgemein, verbindlich und unmittelbar (Art.  288 Abs. 2 AEUV). Sie ist nationales Recht1 und kann direkt angewendet werden.2 Art. 82 Abs. 1 DS-GVO begründet daher einen selbstständigen Anspruch, der in die mitgliedstaatlichen Zivilrechtsregime einzubinden ist.3

I. Begründung und Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO Art. 82 Abs. 1 DS-GVO spricht einer Person einen Anspruch auf Schadensersatz zu, wenn ihr durch eine Verarbeitung personenbezogener Daten, die mit der Verordnung nicht vereinbar ist, ein Schaden entstanden ist. Haftungsbegründend ist daher zu prüfen, ob eine Verarbeitung gegen die Verordnung verstößt, ein Schaden entstanden ist und ob ein Kausalzusammenhang zwischen dem Verordnungsverstoß und dem Schadenseintritt besteht. Die haftungsausfüllenden Rechtsfolgen ergeben sich aus nationalem Recht und können hier nur angedeutet werden.

1  Grabitz/Hilf/Nettesheim AEUV/Nettesheim Art. 288 Rn. 89; Paal/Pauly DSGVO/Frenzel Art. 82 Rn. 21. 2  BeckOK DatenSR DS-GVO/Quaas, Art. 82 Rn. 3; Paal/Pauly DS-GVO/Frenzel, Art. 82 Rn. 21. 3  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil  8 Rn. 20; Paal/Pauly DSGVO/Frenzel, Art. 82 Rn. 20.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO41

1. Verstoß gegen die Verordnung Eine Verarbeitung von Daten verstößt gegen die Verordnung, wenn sie mit der Verordnung „nicht im Einklang“ steht (ErwG. 146 S. 1 DS-GVO).4 Ob das der Fall ist, bestimmt sich nach den allgemeinen Grundsätzen der Art. 5 und 6 DS-GVO, speziellen Normen und den allgemeinen Erlaubnissätzen der Art. 6 bis 11 DS-GVO.5 Voraussetzung für ihre Anwendbarkeit ist, dass personenbezogene Daten gegenständlich sind und dass diese verarbeitet werden. Inwieweit die akkumulierte Persönlichkeitsprofilbildung und -verwendung aus der Verarbeitung personenbezogener Daten besteht, muss zunächst untersucht werden. a) Personenbezogene Daten Als Datenschutzgesetz nimmt die Verordnung ausschließlich personenbezogene Daten in den Blick. Darunter fallen nach Art. 4 Nr. 1 HS. 1 DS-GVO alle „Informationen“, die einen „Bezug“ zu einer „identifizierten oder identifizierbaren“ natürlichen Person haben. Diese Voraussetzungen werden definiert und anschließend im Hinblick auf Akkumulierung, Bildung und Verwendung von Persönlichkeitsprofilen untersucht. aa) Definition der Voraussetzungen (1) „Informationen“ Der Begriff der Informationen ist weit zu verstehen,6 und daher kaum definierbar. Auch die DS-GVO definiert ihn nicht. Um eine Erklärung hat sich die Informationstheorie bemüht. Danach kommt es auf das Vorliegen beziehungsweise Nicht-Vorliegen eines bestimmten Zustandes an. Eine Information ist danach das Wissen darum, welche Zustandsalternative konkret vorliegt. Überträgt man dies auf das Wissen über natürliche Personen, so liegt eine Information über sie vor, wenn eine sie betreffende Frage mit „Ja“ oder „Nein“ beantwortet werden kann. Jeder Aspekt eines Menschen kann eine Information sein, sei es das Geburtsdatum oder die Anzahl der Arme.7 Auch Wahrscheinlichkeitsaussagen, zu denen Scorewerte zählen, sind Informatio-

4  Paal/Pauly

DS-GVO/Frenzel, Art. 82 Rn. 9. Teil  XIII Kapitel 3 Rn. 24; Vgl. BeckOK DatenSR DS-GVO/Quaas, Art. 82 Rn. 14. 6  Kühling/Buchner DS-GVO/Kühling/Klar, Art. 4 Nr. 1 Rn. 8. 7  Kühling/Buchner DS-GVO/Kühling/Klar, Art. 4 Nr. 1 Rn. 8 f. 5  Forgó/Helfrich/Schneider/Kosmides,

42

C. Deliktische Haftung

nen.8 Der Wahrheitsgehalt einer Information spielt dabei keine Rolle.9 Schließlich sieht auch die DS-GVO in Art. 16 einen Anspruch auf Berichtigung falscher personenbezogener Daten vor, was voraussetzt, dass auch falsche Informationen personenbezogene Daten sein können. Eine Information kann zudem eine beliebige Größe annehmen: Ob eine Person ein Smartphone hat, ist ebenso eine Information wie das Aufrufen einer bestimmten Webseite. Daher unterfallen auch syntaktische Daten dem Informationsbegriff. Gleichermaßen unerheblich ist die Form der Information.10 Das heißt, sie kann alphabetisch oder numerisch, graphisch oder akustisch sein. Die IPAdresse ist eine Information, ebenso wie Verkehrs- und Randdaten oder Aussagen über den Browser, Betriebssystem, und ausgeführte Skripte oder installierte Cross-Device-Tracking-Programme.11 (2) „beziehen“ Eine Information muss sich auf natürliche Personen beziehen. Der Euro­ päische Datenschutzausschuss12 verlangt dafür ein Inhalts-, Zweck- oder Ergebniselement. Hierbei soll es sich um unterschiedliche Grade des Personenbezugs handeln.13 Ein Inhaltselement soll in einer Information enthalten sein, wenn es gemessen an allen Umständen abstrakt-eindeutig über eine Person eine Aussage trifft.14 Das sei beispielsweise bei Personal- oder Medizinakten der Fall. Jeder Lesende kann sie einer Person zuordnen. Das Zweckelement soll vorhanden sein, wenn die Information der Bewertung oder der Beeinflussung von Handlung oder Status der betroffenen Person dienen soll.15 Wird etwa das Anrufverhalten einer Person anhand der Verbindungsdaten ihres Telefonanschlusses ausgewertet, beziehen sich diese Verbindungsdaten ihrem Zweck nach auf eine Person. Nutzt ein Dritter unvorhergesehen den Telefonanschluss, beziehen sich die Verbindungsdaten auf ihn. Beim Ergebniselement soll es lediglich um eine anzunehmende Auswirkung des Gebrauchs der Information auf den Betroffenen gehen.16 Als Bei8  Kühling/Buchner 9  Kühling/Buchner 10  WP

DS-GVO/Kühling/Klar, Art. 4 Nr. 1 Rn. 9. DS-GVO/Kühling/Klar, Art. 4 Nr. 1 Rn. 8; WP 136, S. 6.

136, S. 7. WP 136, S. 9. 12  Der Europäische Datenschutzausschuss ist ein unabhängiges EU-Beratungsgremium für Datenschutzfragen. Ursprünglich wurde sie durch Artikel 29 der Richtlinie 95/46/EG eingesetzt und hieß „Art. 29 Datenschutzgruppe“. 13  WP 136, S. 10. 14  WP 136, S. 10. 15  WP 136, S. 10. 16  WP 136, S. 11. 11  Vgl.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO43

spiel werden Geodaten einer Taxi-Flotte genannt. Sie stellen keine eindeutigen Informationen über die Fahrer dar und haben nicht den Zweck, die Taxifahrer zu bewerten oder zu beeinflussen, sondern dienen dazu, die Fahrtrouten der Taxiflotte zu optimieren. Dennoch offenbaren sie das Fahrverhalten der einzelnen Fahrer. Dass sich der Informationsgebrauch auf die Fahrer auswirkt, ist anzunehmen. Aus den drei Elementen ergibt sich ein weiter Beziehungsbegriff. Spiegelbildlich bezieht sich eine Information nur dann nicht auf eine Person, wenn sie entweder ausschließlich einer Sache oder ausschließlich einer Mehrzahl von Personen zugeordnet werden kann.17 Informationen sind nur dann lediglich Sachen zuordenbar, wenn keine Person mit der Sache interagiert, wie etwa bei der Nennung der Höhe des Mount Everest.18 Nur auf eine Mehrzahl von Personen beziehen sich aggregierte oder anonymisierte Informationen. Einzelnen Personen können sie nicht zugeordnet werden.19 Durch Hinzuführung anderer Informationen können solche Informationen freilich einer einzelnen Person zugeordnet werden und sich Beziehungen zu ihr ergeben.20 Die Person, auf die sich ein Datum bezieht, bezeichnet Art. 4 Nr. 1 DSGVO als „betroffene Person“. Wird in dieser Arbeit der Begriff „Betroffene“ verwendet, ist diese Legaldefinition gemeint. (3) „identifizierte oder identifizierbare natürliche Person“ Die Begriffe der Identifizierung und der Identifizierbarkeit versuchen einen individuellen Vorgang abstrakt zu beschreiben. Dies ist mit Unschärfen verbunden, denen sich auf verschiedenen Wegen genähert werden kann. So kann dem relativ-objektiven Ansatz gefolgt, die Rechtswidrigkeit der Zusammenführung berücksichtigt und eine informationstheoretische Sicht verfolgt werden. Gleichwohl sind bestimmte Definitionen von Datenkategorien geläufig. (a) Der relativ-objektive Ansatz Die Personen, auf die sich Informationen beziehen, müssen entweder identifiziert oder identifizierbar sein, um dem Begriff „personenbezogene Daten“ zu unterfallen. Identifizierung bedeutet das Ausmachen einer einzelnen Per17  Kühling/Buchner

DS-GVO/Kühling/Klar, DS-GVO/Kühling/Klar, 19  Kühling/Buchner DS-GVO/Kühling/Klar, 20  Kühling/Buchner DS-GVO/Kühling/Klar, 18  Kühling/Buchner

Art. 4 Art. 4 Art. 4 Art. 4

Nr. 1 Nr. 1 Nr. 1 Nr. 1

Rn. 11 ff. Rn. 12. Rn. 15. Rn. 15.

44

C. Deliktische Haftung

son unter mehreren. Ist dieser Prozess abgeschlossen, ist die Person identifiziert; ist er lediglich möglich, ist die Person identifizierbar.21 Identifizierbar kann eine Person direkt oder indirekt sein. Dies ist nach Art. 4 Nr. 1 DSGVO insbesondere dann der Fall, wenn die Person mittels Zuordnung zu einer Kennung, einer Kennnummer, Standortdaten, Online-Kennung oder besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind, identifiziert werden kann. Nach ErwG. 26 S. 3 DS-GVO soll die Identifizierbarkeit davon abhängen, welche Mittel vom für die Verarbeitung Verantwortlichen oder einem Dritten nach allgemeinem Ermessen wahrscheinlich genutzt werden, um eine Person direkt oder indirekt zu identifizieren. Verantwortlicher ist gemäß Art. 4 Nr. 7 DS-GVO derjenige, der Zweck und Mittel der Verarbeitung festlegt.22 Für die Bestimmung, welche Mittel „nach allgemeinem Ermessen wahrscheinlich“ sind, sind nach ErwG. 26 S. 4 DSGVO alle objektiven Faktoren, beispielsweise die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, die wiederrum nach der verfügbaren Technologie und der technologischen Entwicklung zum Verarbeitungszeitpunkt bewertet werden sollen, zu berücksichtigen. Zu den wahrscheinlich eingesetzten Mitteln gehören nach einem Urteil des EuGH auch rechtliche Mittel, die es dem Verantwortlichen erlauben, auf Daten Dritter zuzugreifen, mit denen die Identifizierung gelingen wird.23 Im zugrundeliegenden Fall ergab sich daraus, dass IP-Adressen für ISPs personenbezogene Daten sind.24 Für die Frage nach der Identifizierbarkeit von Personen ergeben sich zwei Richtungsentscheidungen, die schon zum BDSG a. F. und zur DSRL diskutiert wurden: Die Identifizierbarkeit soll zum einen relativ zu beurteilen sein. Maßgeblich soll sein, ob der Verantwortliche und mit ihm verbundene Dritte den Betroffenen identifizieren könnte. Unerheblich sei, ob weltweit irgendjemand die Personen anhand der Informationen identifizieren könnte. Zum anderen seien die Mittel, die der Verantwortliche oder verbundene Dritte einsetzen könnten, objektiv zu bestimmen.25 Die Identifizierbarkeit einer Person könne schließlich nicht mit dem Argument abgelehnt werden, dass der Verantwortliche sie gar nicht wolle. Läge ein entsprechender Wille im konkreten Fall jedoch vor, wäre er zu berücksichtigen.26 Da keinem der 21  Vgl.

WP 136, S. 12. unten Abschnitt C.I.5.a). 23  EuGH Urteil v. 19.10.2016, Rs. C-582/14 (Breyer), Rn. 47. 24  EuGH Urteil v. 19.10.2016, Rs. C-582/14 (Breyer), Rn. 49; So auch: EuGH Urteil v. 24.11.2011, Rs. C-70/10 (Scarlett Extended SA), Rn. 51. 25  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil 3 Rn. 3. 26  Kühling/Buchner DS-GVO/Kühling/Klar, Art. 4 Nr. 1 Rn. 23. 22  Siehe



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO45

Ansätze widersprochen werden kann, sind sie zu verbinden. Mithin ist die Identifizierbarkeit einer Person anhand von Informationen relativ-objektiv zu bestimmen. Das bedeutet, dass Betroffene identifizierbar sind, wenn dem jeweils für die Verarbeitung Verantwortlichen die Identifizierung möglich ist, ohne dass es hierbei auf einen entsprechenden Willen ankommt. Dass die Identifizierbarkeit nicht schon ausgeschlossen ist, wenn pseudonymisiert wird, ergibt sich bereits ausdrücklich aus ErwG. 26 S. 2 DS-GVO. (b) Beachtlichkeit einer rechtswidrigen Zusammenführung? Eine Person kann vor allem dadurch identifizierbar werden, dass Daten über sie zusammengeführt werden.27 Weiß der Verantwortliche bereits, welche Daten sich auf welche Person beziehen, sind alle weiteren Informationen, die mit den vorhandenen Daten verbunden sind, personenbezogene Daten.28 Hierbei ist fraglich, ob auch das rechtswidrige Kombinieren die Informationsmenge auf ein Maß anhebt, bei dem von einer Identifizierbarkeit ausgegangen werden muss.29 Hierfür kann zum einen auf den Wortsinn abgestellt werden. Die Identifizierbarkeit ist ein tatsächlicher Zustand, der unabhängig von einer rechtlichen Bewertung existiert. Zum anderen kann der Zweck von Art. 4 Nr. 1 HS. 1 DS-GVO herangezogen werden. Dieser liegt im Schutz der Grundrechte und -freiheiten des Betroffenen sowie des freien Datenverkehrs (Art. 1 DS-GVO). Die Grundrechte und -freiheiten werden intensiver geschützt, wenn Informationen auch dann als personenbezogene Daten gelten, wenn sie rechtswidrig zusammengeführt wurden. Nur wenn es sich um personenbezogene Daten handelt, greift die DS-GVO, wodurch der Betroffene vor den durch die Identifizierbarkeit entstehenden Risiken geschützt werden kann. Dass rechtswidrige Verarbeitungen den Schutz der DS-GVO verhindern, ist weder im Sinne der DS-GVO noch des Betroffenen. Aus dessen Sicht kann es ohnehin nicht darauf ankommen, ob eine Information in rechtswidriger oder rechtmäßiger Weise verarbeitet wird. Prinzipiell ist also auch eine rechtswidrige Zusammenführung von Informationen ein Vorgang, welcher den Betroffenen identifizierbar macht.

27  Vgl.

Karg, ZD 2012, 255, 257 f. für Google-Nutzer Becker/Becker, MMR 2012, 351, 352. 29  Vgl. ablehnend Brink/Eckhardt, ZD 2015, 205, 211 zu § 3 I BDSG unter Beachtung von Art. 2 lit. a der Richtlinie 95/46/EG. 28  Vgl.

46

C. Deliktische Haftung

(c) Identifizierung bei 33 Bits Informationen Der Identifizierbarkeits-Begriff ist weit auszulegen.30 Auch deshalb fehlt ihm teilweise die gebotene Genauigkeit. Diese ließe sich erreichen, wenn die Mittel zur Identifizierung, die ErwG. 26 S. 3 DS-GVO anspricht, um eine mathematische Komponente erweitert werden würden. Informationen sind eine naturwissenschaftliche Größe. Als solche lassen sie sich mathematisch ausdrücken: Bei 7,39 Mrd. Menschen sind ca. 33 Bits an Informationen nötig.31 Ein Bit an Information ist die Bejahung einer von zwei Möglichkeiten. Dass das Geburtsdatum auf einen bestimmten Tag im Jahr fällt und nicht auf einen der übrigen Tage, hat die Chance von 1/365,25, auf eine Person zuzutreffen, was ca. 8,51 Bits der oben genannten 33 Bits entspricht.32 Bits sind unterschiedlich aussagekräftig: Während beispielsweise Berlin als Wohnort auf 3,51 Mio. Menschen zutrifft, was sich in 11,04 Bits Informationen übersetzen lässt,33 bedeuten manche Informationen überhaupt keinen Mehrwert, wie das Sternzeichen, wenn bereits das Geburtsdatum bekannt ist. Die ­Benutzung des Betriebssystems Linux lässt sich mit 6,23 Bits angeben,34 die vom Browser Mozilla Firefox mit 2,78 Bits,35 und die Zeitzone mit 4,58 Bits36. Der „User Agent String“ des Browsers, der bei jedem Besuch einer Seite mitgesendet wird, enthält nach EFF (Electronic Frontier Foundation) durchschnittlich 10,5 Bits Informationen.37 Um der Rechtsklarheit Willen lässt sich anführen, dass ein Mittel eine Person identifizieren kann, sobald es dem Verantwortlichen an einem bestimmten Zeitpunkt zu 33 Bits Informa­tionen verhilft. 30  Wybitul

DS-GVO/Pötters/Böhm, Art. 4 Rn. 6. ergibt sich das aus der Formel: ΔS=-log2(1/7.390.000.000); vgl. anschauliche Darstellung auf https://www.eff.org/deeplinks/2010/01/primer-informa tion-theory-and-privacy#footnote1_mn0s1eb, zuletzt abgerufen 17.05.2022; Für denselben Gedanken verwendet der Europäische Datenschutzausschuss den Begriff „identifiers“ WP 136, S. 12 f. 32  365,25 entspricht der durchschnittlichen Anzahl an Tagen im Jahr; Mathematisch ergibt sich das aus der Formel: ΔS=-log2(1/365,25). 33  Mathematisch ergibt sich das aus der Formel: ΔS=-log2(3.510.000/7.390.000.000). 34  Mathematisch ergibt sich das aus der Formel: ΔS=-log2(1,33/100); basierend auf einem Marktanteil von 1,33 % (http://de.statista.com/statistik/daten/studie/157902/ umfrage/marktanteil-der-genutzten-betriebssysteme-weltweit-seit-2009/, zuletzt abgerufen 17.05.2022). 35  Mathematisch ergibt sich das aus der Formel: ΔS=-log2(12,5/100); basierend auf einem Marktanteil von 14,52  % (http://de.statista.com/statistik/daten/studie/ 157944/umfrage/marktanteile-der-browser-bei-der-internetnutzung-weltweit-seit2009/, zuletzt abgerufen 17.05.2022). 36  Mathematisch ergibt sich das aus der Formel: ΔS=-log2(1/24). 37  https://www.eff.org/deeplinks/2010/01/tracking-by-user-agent, abgerufen 17.05. 2022. 31  Mathematisch



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO47

(d) Anerkannte Kategorien personenbezogener Daten Es gibt mehrere anerkannte Kategorien personenbezogener Daten. Hierbei kann es sich um Kategorien handeln, die das Gesetz bestimmt, um spezielle Rechtsfolgen auszulösen. Solche sind sensitive Daten (Art. 9 DS-GVO), ­Bestandsdaten (§ 2 Abs. 2 Nr. 2 TTDSG), Nutzungsdaten (§ 2 Abs. 2 Nr. 3 ­TTDSG) und Verkehrsdaten (§§ 9 Abs. 1 S. 1; 3 Nr. 70 TKG). Zu den nicht legaldefinierten Begriffskategorien gehören Sachdaten, Randdaten, Nutzerund Verbindungsdaten. Die Begriffe können sich inhaltlich überschneiden. Sensitive Daten sind besondere Formen personenbezogener Daten. Es handelt sich um solche Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Daneben ist die Verarbeitung sowohl von genetischen und biometrischen Daten untersagt, die die eindeutige Identifizierung ermöglichen, als auch von Gesundheitsdaten oder Daten zum Sexualleben und zur sexuellen Orientierung. Genetische, biometrische und Gesundheitsdaten werden in Art. 4 Nr. 13–16 DS-GVO gesondert definiert. Sie können entweder direkt aus inhaltlichen Analysen von E-Mails, Blogs oder Postings in sozialen Netzwerken oder aus Meta- beziehungsweise Verbindungsdaten, wie den wiederholten Besuchen von und Verweilen auf Seiten hervorgehen, die einem bestimmten politischen oder weltanschaulichen Spektrum zuortbar sind.38 Entsprechende Erkenntnisse lassen sich auch aus dem Besuchsmuster von Webseiten über bestimmte gesundheitliche Probleme oder sexuelle Vorlieben gewinnen.39 Sensitive Daten unterfallen mit Art. 9 Abs. 1 DS-GVO verschärften Anforderungen. Das bedeutet, dass ihre Verarbeitung nur nach Art. 9 Abs. 2 DS-GVO möglich ist, der Voraussetzungen aufstellt, die über die des Art. 6 Abs. 1 DS-GVO hinausgehen. Beispielsweise muss sich eine Einwilligung ausdrücklich auf sensitive Daten beziehen (Art. 9 Abs. 2 lit. a DS-GVO), während Ausdrücklichkeit keine Voraussetzung für eine Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO ist. Im Bereich der Nutzung von Telemedien entsprechen Bestandsdaten den Nutzerdaten. Sie sind ebenfalls personenbezogen und ausweislich § 2 Abs. 2 Nr. 2 TTDSG für die Begründung, inhaltliche Ausgestaltung und Änderung der Telemediennutzung dienenden Verträgen notwendig. Personenbezogene Daten, die für die Inanspruchnahme und Abrechnung von Telemedien notwendig sind, sind Nutzungsdaten nach § 2 Abs. 2 Nr. 3 TTDSG und geben insbesondere Beginn, Ende und Umfang der jeweiligen Nutzung sowie die 38  Vgl. Paal/Pauly DS-GVO/Frenzel, Art. 9 Rn. 8; Politische Daten durch Auswertung von Metadaten von Twitter des Projekts AlTwitter (http://www.privacypies.org/ ALTwitter/index.html). 39  Vgl. Paal/Pauly DS-GVO/Frenzel, Art. 9 Rn. 8.

48

C. Deliktische Haftung

genutzten Telemedien wieder. Sie können mit Bestandsdaten zusammenfallen.40 Unter Verkehrsdaten nach § 3 Nr. 70 TKG sind solche personenbezogenen Daten zu verstehen, die bei der Erbringung des Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden. Allgemeiner, aber nicht legaldefiniert, sind Rand- oder Verbindungsdaten. Sie beschreiben Informationen, die zum Aufbau von Internetverbindungen notwendig sind. Sie werden automatisiert generiert und gespeichert, etwa als Server-Logfiles. Es handelt sich häufig um Mikrodaten, die nur äußerst kleinteilige Informationen über den Betroffenen enthalten. Erst durch ihre Masse erhalten sie Aussagekraft. Solche Daten haben gegenüber Daten, die inhaltlichen Analysen entstammen, den Vorteil, dass sie einfacher zu verarbeiten und objektiver sind. Rand- und Verbindungsdaten sind auch Sachdaten. Solche werden maschinell erzeugt. Sie sind zwar grundsätzlich von personenbezogenen Daten abzugrenzen,41 da sie sich auf Sachen anstelle von Personen beziehen.42 Sie können aber auf Personen beziehbar sein, wenn sie in einem bestimmten, mit weiteren Informationen angereichertem Kontext abgerufen werden und einen ausreichend hohen Detailgrad haben.43 „Sachliche Angaben“ geben über die Beziehungen und das Umfeld des Betroffenen Aufschluss, auch wenn sie nicht direkt den Betroffenen zum Gegenstand haben.44 Sie haben grundsätzlich Personenbezug.45 Eine weitere, nicht-legaldefinierte Oberkategorie sind Nutzerdaten. Sie sind fest auf eine natürliche Person bezogen, was häufig durch originär nicht-elektronische Mittel abgesichert ist. Hierunter fallen insbesondere Name und Postanschrift. Auch Festnetz- und Mobilfunknummern sind über die Postanschrift einer Person fest zuzuordnen. Zur besonderen datenschutzrechtlichen Regelung der elektronischen Kommunikation ist eine neue „e-Privacy Verordnung“ geplant. Art. 4 III e-Privacy VO-E46 definiert den Begriff „elektronische Kommunikationsdaten“ und teilt ihn in Inhalts- und Metadaten auf. Metadaten sind „Daten, die in einem elektronischen Kommunikationsnetz zu Zwecken der Übermittlung, der Verbreitung oder des Austauschs elektronischer Kommunikationsinhalte verar40  Müller-Broich

TMG/Müller-Broich, § 15 Rn. 1 DatenSR DS-GVO/Schild, Art. 4 Rn. 22. 42  BeckOK DatenSR DS-GVO/Schild, Art. 4 Rn. 22. 43  BeckOK DatenSR DS-GVO/Schild, Art. 4 Rn. 23. 44  Paal/Pauly DS-GVO/Ernst, Art. 4 Rn. 14. 45  Paal/Pauly DS-GVO/Ernst, Art. 4 Rn. 14. 46  Entwurf der Kommission zur Neuregelung elektronischer Kommunikation; abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A5201 7PC0010, zuletzt abgerufen am 17.05.2022. 41  BeckOK



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO49

beitet werden; dazu zählen die zur Verfolgung und Identifizierung des Ausgangs- und Zielpunkts einer Kommunikation verwendeten Daten, die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste erzeugten Daten über den Standort des Geräts sowie Datum, Uhrzeit, Dauer und Art der Kommunikation“ (Art. 4 III lit. c e-Privacy VO-E). Inhaltsdaten können Text, Sprache, Bild oder Ton enthalten (Art. 4 III lit. b e-Privacy ­VO-E). Die hier beschriebenen Datenkategorien können auch zum oben genannten Begriffspaar von syntaktischen und semantischen Daten in Beziehung gesetzt werden. So sind sensitive Daten, Nutzer- und Bestandsdaten semantisch, da sie inhaltlicher Art sind. Verkehrs-, Nutzungs-, Rand-, Verbindungs- und Sachdaten sind hingegen syntaktisch, da maschinell erzeugt. Es wird deutlich, dass der Personenbezug von Daten aus vielen Perspektiven betrachtet werden kann. Im Folgenden wird untersucht, inwieweit Persönlichkeitsprofile personenbezogene Daten verwenden. bb) Akkumulierung Bei der Akkumulierung werden Informationen in großem Umfang aus möglichst verschiedenen Quellen gesammelt. Aus dem weiten Informationsbegriff ergibt sich, dass alle Angaben, die wie oben beschrieben akkumuliert werden, Informationen im Sinne des Art. 4 Nr. 1 DS-GVO sind. Diese ergeben sich zwar häufig aus der Benutzung von Sachen. Da aber bei der Akkumulation die Persönlichkeit von Menschen erforscht werden und das Persönlichkeitsprofil, etwa zur Werbung, verwendet werden soll, liegt das obengenannte Zweckelement der Beobachtung und Beeinflussung von Personen vor. Sie lassen sich einer einzelnen Person zuordnen, „beziehen“ sich also auf sie. Ob diese Person auch identifiziert oder identifizierbar ist, bestimmt sich nach dem oben dargelegten relativ-objektiven Ansatz, der auch rechtswidrige Zusammenführungen berücksichtigt. Zu den Mitteln, die der Akkumulierende wahrscheinlich einsetzen wird, gehört die Verbindung vorhandener personenbezogener Daten mit neuen Informationen. Deshalb steigen mit der Menge der bereits akkumulierten Daten die Möglichkeiten der Identifizierung von Personen. Je mehr akkumuliert wird, desto mehr Daten sind personenbezogen. Aus der Relativität des Personenbezugs ergibt sich umgekehrt auch, dass Zulieferer von Informationen nicht notwendigerweise personenbezogene Daten verarbeiten und damit nicht der DS-GVO unterfallen. Dies soll im Folgenden anhand der verschiedenen Akkumulationstechniken erläutert werden.

50

C. Deliktische Haftung

(1) ISPs Bei den ISPs fallen viele verschiedene Daten zusammen. Sobald sie eine Internetverbindung herstellen, egal ob mobil oder über eine Standleitung, sammeln ISPs Daten. Dazu zählen Standortdaten, Nutzer- beziehungsweise Bestandsdaten und alle Verbindungs- und Verkehrsdaten, die im Rahmen ihrer dem Kunden zur Verfügung gestellten Verbindungen anfallen. IP-Adressen der Teilnehmer, Verbindungsdauer sowie Art und Menge der übertragenden Daten jeder einzelnen Verbindung sind darin enthalten. Gerade weil ein ISP auch Bestandsdaten hat, sind IP-Adressen für ihn personenbezogen. Da die Verbindungs- und Verkehrsdaten an die IP-Adresse gebunden sind, erweitert sich der Personenbezug auf diese. (2) Server Server sind das Gegenstück in der Verbindung zu einem Endgerät einer natürlichen Person. Als Verbindungsteilnehmer werden auf den Servern die jeweiligen Verbindungs- und Verkehrsdaten gespeichert. Dadurch ist dem Serverbetreiber bekannt, welche Programme und welches Endgerät von einer Person genutzt werden. Auf Servern können auch Inhaltsdaten wie der Klartext aus E-Mails liegen, sofern sie nicht verschlüsselt sind. Sogar Nutzer­ daten werden gegebenenfalls auf Servern verarbeitet, wenn etwa der E-MailAccount auch die Postanschrift enthält. Allerdings verarbeitet nicht jeder Server Nutzer- oder Bestandsdaten oder andere eindeutig identifizierende Informationen. Ob der Serverbetreiber einen Personenbezug herstellen kann, muss im Einzelfall betrachtet werden. (3) Cookies Cookies sind für die Identifizierung von Personen geschaffen worden. Dazu verarbeiten sie Informationen über das sich verbindende Endgerät der Person. Solche sind Nutzungsdaten im Sinne des § 2 Abs. 2 Nr. 3 TTDSG47 und damit grundsätzlich personenbezogen. Weil die Cookies dem jeweiligen Server Daten übertragen, verarbeiten die Server auch Verbindungsdaten. Da sie mit den Nutzungsdaten kombiniert werden können, sind auch die Verbindungsdaten für den Betreiber von Cookies personenbezogen. Der Personenbezug kann durch die zusammenführende Verarbeitung von Cookies verschiedener Stellen noch gesteigert werden.

47  Zum gleichlautenden § 15 Abs. 1 TMG: Müller-Broich TMG/Müller-Broich, § 15 Rn. 1; Voigt, MMR 2009, 377, 381.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO51

(4) Plugins Plugins unterscheiden sich von Cookies durch ihren Zweck: Sie dienen nicht primär der Identifizierung, sondern dem Aktivieren von Inhalten Dritter. Durch das Abrufen ihrer Inhalte entstehen bei ihnen Verbindungsdaten und, abhängig vom Plugin, Inhaltsdaten. Trotz Online-Kennung ist ihr Personenbezug vom Einzelfall abhängig. (5) Skripte Welche personenbezogenen Daten Skripte sammeln, ist von ihrer Programmierung abhängig. Um Ziele zu verfolgen, wie etwa das Anzeigen multimedialer Inhalte, verarbeiten sie etwa Inhalts-, Nutzungs- und Verbindungsdaten. Über Skripte ist es zudem möglich, einzelnen Personen eine „Online-Kennung“ im Sinne des Art. 4 Nr. 1 DS-GVO zuzuordnen. Ob der Verwender von Skripten tatsächlich personenbezogene Daten verarbeitet, hängt aber vom Einzelfall ab. (6) Device Fingerprinting und Sound Beacon Sowohl Device Fingerprinting als auch das Sound Beacon dienen der Wiedererkennung von natürlichen Personen im Internet. Dazu sammeln sie Informationen über die verwendeten Endgeräte und die ausgeführte Software. Diese Nutzerdaten werden an die Urheber zurückgeführt, wodurch wiederum Verbindungsdaten entstehen. Da sie nicht nur sehr viele Daten sammeln und dadurch die Identität des Betroffenen ausforschen sowie selbst eine OnlineKennung darstellen, sind die Daten, die sie liefern, grundsätzlich als personenbezogen anzusehen. cc) Bildung und Verwendung von Persönlichkeitsprofilen Bei der Bildung von Persönlichkeitsprofilen ist die Gewinnung neuer Erkenntnisse über den Betroffenen gerade das Ziel. Diese nehmen häufig die Form semantischer Informationen an. Dass sich die neu generierten Informationen auf eine Person beziehen, ergibt sich bereits aus ihrem Inhaltselement. Die Person wird identifizierbar, indem Daten neu verknüpft und neu gebildet werden. Bei der Profilbildung werden also personenbezogene Daten verarbeitet, die anschließend für einen bestimmten Zweck verwendet werden.

52

C. Deliktische Haftung

b) Verarbeitungen personenbezogener Daten Im Folgenden wird untersucht, inwieweit personenbezogene Daten verarbeitet werden. Es sind nicht die Daten selbst, sondern ihre Verarbeitung, die die Grundrechte und -freiheiten des Betroffenen gefährden.48 Dem folgend reguliert die DS-GVO nur die Verarbeitung personenbezogener Daten und schränkt sie ein. Die Verordnung enthält 18 Verarbeitungstatbestände, erfasst darüber hinaus aber auch jeden Vorgang oder jede Vorgangsreihe „im Zusammenhang mit personenbezogenen Daten“ (Art. 4 Nr. 2 DS-GVO). Auf sie wird unten in Bezug auf Persönlichkeitsprofile eingegangen. Für Persönlichkeitsprofile ist eine Vielzahl von Verarbeitungsvorgängen nötig. Je mehr Daten einfließen, desto größer ist ihr Nutzwert. Die Verarbeitungen lassen sich drei Bereichen zuordnen: Der Akkumulation der Daten, der Bildung von Persönlichkeitsprofilen und der Verwendung der Profile. Ein einzelnes Datum durchläuft zwar alle drei Bereiche chronologisch. In der Praxis verschwimmen sie aber zu einer fortlaufenden und parallelen Verarbeitung einer hohen Menge von Daten. Die Aufteilung komplexer Verarbeitungsvorgänge in mehrere Verarbeitungsschritte oder -phasen ermöglicht nicht nur eine Würdigung ihrer jeweiligen, besonderen Risikolagen, in die sie den Betroffenen versetzen. Sie kann auch an Literatur anknüpfen, etwa zur Verarbeitungen einer Auskunftei.49 aa) Akkumulierung personenbezogener Daten für Persönlichkeitsprofile Die Akkumulation von personenbezogenen Daten besteht, wie oben beschrieben, aus der Sammlung möglichst vieler, möglichst diversifizierter Informationen aus unterschiedlichen Quellen.50 Beispielsweise könnte ein „Super-Cookie“ von einem Server ausgelesen oder eine Telefonnummer über das Feld einer Kontaktmaske an den Verantwortlichen geschickt werden, der diese Daten selbst nutzt oder weiterleitet. Dies wiederholt sich gegebenenfalls mit jedem Besuch einer entsprechend verbundenen Webseite. Die Daten werden dabei zunächst erhoben. Unter „Erheben“ im Sinne des Art. 4 Nr. 2 DS-GVO fällt jede Technik, die Daten beschafft.51 Werden diese Daten registriert, handelt es sich um ein „Erfassen“.52 Eine darauffolgende Aufbe48  Vgl.

Forgó/Helfrich/Schneider/Kosmides, Teil XIII Kapitel 3 Rn. 24. Lewinski/Pohl, ZD 2018, 17, 19 ff. 50  Siehe oben Abschnitt B.II.1. 51  Paal/Pauly DS-GVO/Ernst, Art. 4 Rn. 23. 52  Paal/Pauly DS-GVO/Ernst, Art. 4 Rn. 24; Wohl dasselbe mit „erheben“ meinend: Richter, DuD 2015, 735, 736. 49  von



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO53

wahrung stellt eine „Speicherung“ dar.53 Das Weiterreichen eines Datums an einen weiteren Verantwortlichen konstituiert für den ersten Verantwortlichen eine „Offenlegung“ in Form einer „Übermittlung“, „Verbreitung“ oder einer anderen Art der „Bereitstellung“.54 Werden Daten lediglich aktuell gehalten, wie das Alter einer Person, handelt es sich um eine „Anpassung“.55 Eine Überschneidung der Begriffe ist zwar möglich,56 aber weitestgehend unerheblich. Die Verordnung macht Rechtsfolgen weder von der Art der Verarbeitung abhängig noch stellt sie die einzelnen Verarbeitungsvorgänge in ein Rangverhältnis. Prinzipiell ist es weder für den Verantwortlichen noch für den Betroffenen von Bedeutung, ob ein Vorgang ein Erfassen oder ein Speichern im Sinne des Art. 4 Nr. 2 DS-GVO darstellt. Solange aber jedenfalls eine Variante der möglichen Verarbeitungstatbestände einschlägig ist, lassen sich die Grundsätze der Datenverarbeitung anwenden und ein möglicher Eingriff in die Grundrechte und -freiheiten des Betroffenen untersuchen. bb) Bildung von Persönlichkeitsprofilen Bei der Bildung von Persönlichkeitsprofilen werden viele verschiedene personenbezogene Daten zusammengeführt, miteinander verknüpft, neue personenbezogene Daten generiert und Persönlichkeitsaspekte bewertet.57 Die Zusammenführung der Daten besteht nicht nur aus einer Speicherung. Durch „Organisation“ und „Ordnung“ werden die akkumulierten Daten in eine Struktur überführt, die eine gewisse Komplexität haben kann.58 Hierzu können neben einzelnen, akkumulierten Daten auch externe Datenbanken verwendet werden. Werden sie einbezogen, handelt es sich um ein „Ab­ fragen“.59 Für die Verknüpfung der Daten untereinander ist es nötig, sie miteinander in Beziehung zu stellen. Die Prüfung personenbezogener Daten auf Konsistenz mit anderen stellt einen „Abgleich“ dar.60 Art. 4 Nr. 2 DS-GVO kennt auch den Verarbeitungstatbestand der Verknüpfung. Er ist erfüllt, wenn Daten aus mehreren Dateisystemen zusammengeführt werden.61 Ein Dateisystem 53  Paal/Pauly

DS-GVO/Ernst, Art. 4 Rn. 25. DS-GVO/Ernst, Art. 4 Rn. 30. 55  Paal/Pauly DS-GVO/Ernst, Art. 4 Rn. 27. 56  Paal/Pauly DS-GVO/Ernst, Art. 4 Rn. 20. 57  Siehe oben Abschnitt A.II. 58  Paal/Pauly DS-GVO/Ernst, Art. 4 Rn. 26. 59  Paal/Pauly DS-GVO/Ernst, Art. 4 Rn. 28. 60  Paal/Pauly DS-GVO/Ernst, Art. 4 Rn. 31. 61  Paal/Pauly DS-GVO/Ernst, Art. 4 Rn. 32. 54  Paal/Pauly

54

C. Deliktische Haftung

ist zwar nicht legaldefiniert und daher stets einer neuen Interpretation offen. Weil aber jeder zusammenführende und verknüpfende Verarbeitungsvorgang jedenfalls ein „Verwenden“ darstellt,62 ist dessen Definition nicht erforderlich. Eine Zusammenführung hingegen bedeutet die dauerhafte Herstellung eines Bezugs der Daten untereinander. IP-Adresse, Fingerprint und Cookie könnten etwa einem Namen mit Postanschrift zugeordnet werden. Das macht es etwa möglich zu erkennen, in welchen Intervallen eine Person sich eine Webseite angesehen hat und welche Webseite oder welche App ihr folgte. Die Generierung neuer personenbezogener Daten findet keine Entsprechung in den von Art. 4 Nr. 2 DS-GVO aufgeführten Verarbeitungstatbeständen. Weil die Daten geschaffen und nicht beschafft werden, handelt es sich nicht um eine „Erhebung“ von Daten. Die Verarbeitungstatbestände stellen allerdings lediglich Beispiele für Vorgänge im Zusammenhang mit personenbezogenen Daten dar. Die Schaffung neuer personenbezogener Daten ist jedoch ein Vorgang, der mit ihnen im Zusammenhang steht. Die Bewertung von Aspekten beschreibt die Zielrichtung der Sammlung, Verknüpfung und Generierung der Daten. Neue Verarbeitungsschritte ergeben sich daraus nicht. cc) Verwendung von Persönlichkeitsprofilen Die Verwendung von Persönlichkeitsprofilen bedeutet die Verarbeitung der Daten, aus denen das Persönlichkeitsprofil besteht. Die „Verwendung“ ist dabei ein Verarbeitungstatbestand, den Art. 4 Nr. 2 DS-GVO direkt aufführt. Damit sind auch die Varianten des Scorings, der Werbung und des Voter Targetings umfasst. Maßgeblich sind auch das „Auslesen“ und „Abfragen“ von Profildaten. Sofern diese lediglich weitergegeben werden sollen, handelt es sich hierbei um eine „Offenlegung“ (Art. 4 Nr. 2 DS-GVO). dd) Einordnung als „Profiling“ im Sinne des Art. 4 Nr. 4 DS-GVO Akkumulierung, Bildung und Verwendung von Persönlichkeitsprofilen könnten nicht nur als Verarbeitung personenbezogener Daten, sondern auch als Profiling zu verstehen sein. Dieses wird in Art. 4 Nr. 4 DS-GVO definiert. Mit der darauf aufbauenden Sonderregelung des Art. 22 Abs. 1 ­DS-GVO hat der Verordnungsgeber Profiling als besonders sensible Art der Datenverarbeitung anerkannt. Profiling ist aber auch Anknüpfungspunkt vieler Diskussionen über die Risiken von Datenverarbeitung. Daher wird im 62  Vgl.

Paal/Pauly DS-GVO/Ernst, Art. 4 Rn. 29.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO55

Folgenden untersucht, inwiefern es sich bei Persönlichkeitsprofilen um Profiling im Verordnungssinne handelt. (1) Definition von „Profiling“ in Art. 4 Nr. 4 DS-GVO Die Verordnung definiert in Art. 4 Nr. 4 DS-GVO Profiling als „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte ­Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten. Ziel ist es, insbesondere Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persön­ liche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“. Die gesetzliche Definition hat einen weiten Anwendungsbereich.63 Dies rührt daher, dass im Gesetzgebungsverfahren der Profiling-Begriff bis zuletzt streitig war.64 Mit der Aufnahme des Begriffs „Profiling“ in die DS-GVO sollte primär ein Anknüpfungspunkt für zukünftige Diskussionen geschaffen werden, eine direkte Normierung war nicht beabsichtigt.65 Dass er aufgenommen wurde, ist hauptsächlich eine Reaktion auf die steigende Relevanz von „Big Data“-Anwendungen.66 Mangels einer grundlegenden Einigkeit über die Begriffsrichtung wird sowohl vertreten, dass Profiling die Findung einer Entscheidung sei, als auch, dass der Begriff den Prozess bezeichne, der der Entscheidungsfindung vorausgehe.67 Profiling wird nicht als eine bestimmte Art der Verarbeitung charakterisiert, sondern als eine bestimmte Art der Verwendung der aus der Verarbeitung gewonnen Erkenntnisse: Sie müssen verwendet werden, um persönliche Aspekte zu bewerten, zu analysieren oder vorherzusagen. Damit beschreibt Profiling im Kern einen Vorgang. Dieser kann zwar Grundlage einer Entscheidungsfindung sein, stellt aber nicht das Finden der Entscheidung selbst dar. Kern der Definition nach Art. 4 Nr. 4 DS-GVO sind „persönliche Aspekte“. Worum es sich hierbei handelt, erläutert ErwG. 71 S. 2 DS-GVO: Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Inte­ ressen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person. Ihre Analyse oder Prognose muss allerdings rechtliche Wirkung für die betroffene Person entfalten oder sie in ähnlicher Weise erDuD 2016, 566, 569. DuD 2016, 566, 569. 65  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil  3 Rn. 6, 66; Taeger, RDV 2017, 3, 6; Vgl. Moos/Rothkegel, ZD 2016, 561, 568. 66  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil 3 Rn. 6. 67  BeckOK DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 7. 63  Kugelmann, 64  Kugelmann,

56

C. Deliktische Haftung

heblich beeinträchtigen.68 Über die Analyse und Prognose hinaus sollen auch Aktualisierung und Verwendung von Profiling-Daten dem Begriff unterfallen.69 Erstellte Profile können verschiedenen Zielen dienen wie etwa der Identifikation, der Optimierung eines Dienstes oder der Überwachung.70 Ein Hauptanwendungsfall von Profiling ist aber die Vorhersage der ­ irtschaftlichen Lage und die Erstellung von Wahrscheinlichkeitswerten w zum Zahlungsausfall,71 mithin Scoring.72 Der Verlust der differenzierten BDSG a. F.-­Regelungen zum Scoring wurde bedauert.73 Mit § 31 BDSG n. F. wurde allerdings eine die DS-GVO ergänzende Regelung verabschiedet. (2) Akkumulierung der Daten für ein Persönlichkeitsprofil als Profiling Die Akkumulierung personenbezogener Daten ist nur eine Vorstufe der Persönlichkeitsprofile, in der die Daten gesammelt werden. Profiling setzt aber die Verwendung von Daten in Form der Bewertung, Vorhersage oder Analyse voraus. Dies findet bei der Akkumulierung nicht statt. Die Akkumulierung ist daher kein Profiling im Verordnungssinne. (3) Bildung eines Persönlichkeitsprofils als Profiling Fraglich ist, ob die in dieser Arbeit beschriebene Profilbildung Profiling im Sinne der DS-GVO darstellt. Zwei wesentliche Merkmale der Bildung von Persönlichkeitsprofilen sind die Fähigkeit, auf Basis der akkumulierten Daten weitere Daten einer natürlichen Person zuzuordnen sowie neue personenbezogene Daten zu generieren. Diese beiden Aspekte werden von Profiling nach Art. 4 Nr. 4 DS-GVO zwar nicht ausdrücklich umfasst.74 Dessen Definition stellt auf die „Verarbeitung personenbezogener Daten“ ab, die in Art. 4 Nr. 2 DS-GVO legaldefiniert wird. Unter den dort angeführten Verarbeitungstatbeständen fehlt die Generierung neuer personenbezogener Daten. Diese Aufzählung ist allerdings nicht abschließend. Die Norm öffnet sich ausdrücklich auch nicht aufgeführten Verarbeitungen. Der Bezug auf die Verarbeitung personenbezogener Daten könnte daher die Generierung oder Zuordnung neuer Daten umfassen. 68  BeckOK

DatenSR DS-GVO/Schild, Art. 4 Rn. 65. DS-GVO/Ernst, Art. 4 Nr. 4 Rn. 36. 70  Paal/Pauly DS-GVO/Ernst, Art. 4 Rn. 36. 71  Moos/Rothkegel, ZD 2016, 561, 567. 72  Eschholz, DuD 2017, 180, 184; Taeger, RDV 2017, 3, 3 f.; Moos/Rothkegel, ZD 2016, 561, 567. 73  Taeger, ZRP 2016, 72, 74 ff. 74  Eschholz, DuD 2017, 180, 184. 69  Paal/Pauly



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO57

Generierung und Zuordnung von Daten zur Profilbildung stellen auch eine Bewertung, Analyse oder Vorhersage bestimmter persönlicher Aspekte im Sinne des Art. 4 Nr. 4 DS-GVO dar. Bei der Profilbildung werden zwar nicht nur einzelne, sondern mehrere persönliche Aspekte bewertet. Das wird aber von Art. 4 Nr. 4 DS-GVO nicht ausgeschlossen. Das ergibt sich insbesondere daraus, dass die Legaldefinition weit zu verstehen ist. Da die Bildung von Persönlichkeitsprofilen über die Legaldefinition hinausgeht, handelt es sich auch, aber nicht nur, um Profiling. (4) Verwendung eines Persönlichkeitsprofils als Profiling Persönlichkeitsprofile können vielseitig verwendet werden, etwa zur Werbung, zum Finanz- oder Versicherungsscoring, dem Voter Targeting oder nur zur weiteren Übermittlung. Keines dieser Verwendungsszenarien findet sich in Art. 4 Nr. 4 DS-GVO. Daraus ergibt sich, dass die Möglichkeiten der Verwendung von Persönlichkeitsprofilen für die Bewertung von Profiling unbeachtlich sind. Vielmehr bezieht sich Profiling auf den vorangehenden Verarbeitungsabschnitt der Bildung von Persönlichkeitsprofilen. Ihre Verwendung ist daher kein Profiling im Sinne des Art. 4 Nr. 4 DS-GVO. (5) Zusammenfassung Einordnung als Profiling Von den Verarbeitungskomplexen von Persönlichkeitsprofilen kann allein ihre Bildung unter den Begriff „Profiling“ im Sinne der DS-GVO subsumiert werden. Gleichwohl geht die hier definierte Profilbildung über „Profiling“ nach DS-GVO hinaus. c) Grundsätze der DS-GVO Ein haftungsbegründener Verordnungsverstoß kann sich zunächst daraus ergeben, dass die Verarbeitung personenbezogener Daten mit den Grundsätzen der DS-GVO nicht vereinbar ist. Diese Grundsätze sind unmittelbar verbindlich, obwohl sie ihrem Wesen nach allgemein gehalten sind.75 Ihre Verbindlichkeit ergibt sich schon aus dem Wortlaut des Art. 5 Abs. 1 DS75  EuGH Urteil vom 20.05.2003, Rs. C-465/00, C-138/01 und C-139/01 (Österreichische Rundfunk), Rn. 65; EuGH Urteil vom 16.12.2008, Rs. C-524/06 (Huber), Rn. 48; EuGH Urteil vom 24.11.2011, Rs. C-468/10 und C-469/10 (ASNEF und FECEMD), Rn. 26; EuGH Urteil vom 01.10.2015, Rs. C-201/14 (Bara), Rn. 30, 34; BeckOK DatenSR DS-GVO/Schantz, Art. 5 Rn. 2; Albrecht/Jotzo Datenschutzrecht/ Albrecht/Jotzo, Teil  2 Rn. 1; Paal/Pauly DS-GVO/Frenzel, Art. 5 Rn. 1 f.; Schantz, NJW 2016, 1841, 1843.

58

C. Deliktische Haftung

GVO, der verlangt, dass personenbezogene Daten nach den Grundsätzen verarbeitet werden „müssen“. Er sieht sie weder als bloße Zielvorstellung an noch verweist er auf andere unmittelbar anzuwendende Vorschriften. Zudem sind die DS-GVO-Grundsätze in Art. 83 Abs. 5 lit. a DS-GVO ausdrücklich mit Bußgeld bewährt. Wenn ein Verstoß gegen die Grundsätze ein Bußgeld auslöst, müssen diese unmittelbar verbindlich sein. Schließlich entspricht dies auch der in den ErwG. 39; 40 DS-GVO dargelegten Intention des Verordnungsgebers. In diesen Erwägungsgründen werden die DS-GVO-Grundsätze als Voraussetzung für verordnungskonforme Verarbeitung bezeichnet und aufgezählt. Die Grundsätze eröffnen die Prüfung datenschutzrechtlicher Zulässigkeit nicht nur, weil sie wesentlicher Bestandteil materiellen Datenschutzrechts sind. Sie bestimmen auch den Rahmen, in dem sich die Normen zur Zulässigkeit der Datenverarbeitung, insbesondere die einzelnen Erlaubnissätze wie die Einwilligung,76 bewegen. So bestimmt der Rechtmäßigkeitsgrundsatz des Art. 5 Abs. 1 lit. a Var. 1 DS-GVO, dass Verarbeitungen personenbezogener Daten rechtmäßig sein müssen. Was rechtmäßig ist, ergibt sich hingegen aus den Erlaubnissätzen des Art. 6 Abs. 1 DS-GVO. Die Erlaubnissätze füllen den Grundsatz der Rechtmäßigkeit mit Inhalt. Daraus folgt, dass eine Verarbeitung rechtmäßig sein kann, weil sie einem Erlaubnissatz und damit dem Rechtmäßigkeitsgrundsatz entspricht. Die Verarbeitung kann dennoch einen Verordnungsverstoß darstellen, falls sie gegen einen anderen Grundsatz verstößt. Schließlich sind stets sämtliche Grundsätze zu beachten. In Art. 5 Abs. 1 DS-GVO sind alle datenschutzrechtlichen Grundsätze festgehalten. Im Folgenden werden die in Art. 5 Abs. 1 lit. a DS-GVO enthaltenen Grundsätze der Rechtmäßigkeit, der Transparenz und von Treu und Glauben, der Grundsatz der Zweckbindung nach Art. 5 Abs. 1 lit. b DS-GVO und der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DS-GVO behandelt. Hier sollen Akkumulierung, Bildung und Verwendung von Persönlichkeitsprofilen zunächst hinsichtlich eines Verstoßes gegen die Datenschutzgrundsätze untersucht werden. Dazu werden die jeweiligen Anforderungen der Grundsätze bestimmt, unter welche die drei Verarbeitungsphasen subsumiert werden. Eine Untersuchung der übrigen Grundsätze unterbleibt wegen verringerter Bedeutung für den Untersuchungsgegenstand sowie aus Platzgründen. Dies gilt auch für den Grundsatz der Datenrichtigkeit des Art. 5 Abs. 1 lit. d DS-GVO, da dieser Arbeit die Annahme zugrundeliegt, dass die Bildung von belastbaren Persönlichkeitsprofilen möglich ist.

76  Tavanti,

RDV 2016, 231, 233.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO59

aa) Rechtmäßigkeit (Art. 5 Abs. 1 lit. a Var. 1 DS-GVO) Der Regelungsinhalt des Rechtmäßigkeitsgrundsatzes nach Art. 5 Abs. 1 lit. a Var. 1 DS-GVO besteht aus den Erlaubnissätzen des Art. 6 Abs. 1 DSGVO. Dies ergibt sich daraus, dass dieser einleitend die Erlaubnissätze als Bestimmungen der Rechtmäßigkeit ausweist: „Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: […]“. Ein darüber hinausgehender Inhalt und damit eine eigene Prüfungsmöglichkeit des Rechtmäßigkeitsgrundsatzes sind nicht denkbar. Inwiefern Akkumulierung, Bildung und Verwendung von Persönlichkeitsprofilen mit den Erlaubnissätzen vereinbar sind, wird unten behandelt.77 bb) Verarbeitung nach Treu und Glauben (Art. 5 Abs. 1 lit. a Var. 2 DS-GVO) (1) Anforderungen von „Treu und Glauben“ (a) Autonome Auslegung Der Begriff „Treu und Glauben“ hat sowohl im mitgliedstaatlichen als auch im europäischen Recht eine jeweils eigenständige Bedeutung und eine umfangreiche Rechtstradition. Er kann daher entweder mitgliedstaatlich oder verordnungsautonom auszulegen sein, schließlich verfolgt die Auslegung das Ziel der einheitlichen Anwendung des Europarechts.78 Ist verordnungsautonom auszulegen, gilt der Auslegungskanon zwar weiterhin, seine Bezugspunkte liegen aber im europäischen Recht. Im Einzelnen bedeutet das, dass die Wortlautauslegung nicht nur eine, sondern verschiedene, idealerweise alle sprachlichen Fassungen derselben Norm in einem Textvergleich berücksichtigen muss.79 Bei der systematischen Auslegung ist der Acquis Communautaire, also das gesamte EU-Recht, maßgeblich und nicht etwa das nationale Recht. Die europäische Bestimmung des Telos einer Norm muss insbe-

77  Siehe

unten Abschnitt C.I.1.e). Urteil vom 18.01.1984, Rs. C-327/82 (Ekro), Slg. 1984, I-107, Rn. 11; EuGH Urteil vom 19.09.2000, Rs. C-287/98 (Linster), Slg. 2000, I-6917, Rn. 43; EuGH Urteil vom 17.03.2005, Rs. C-170/03 (Feron), Slg. 2005, I-2299, Rn. 26; EuGH Urteil vom 14.12.2006, Rs. C-316/05 (Nokia), Slg. 2006, I-12083, Rn. 21; EuGH Urteil vom 03.07.2016, Rs. C-128/11 (UsedSoft), Rn. 39; Europäische Me­ thodenlehre/Riesenhuber, § 10 Rn. 6, 24; Europäische Methodenlehre/Stotz, § 22 Rn. 19. 79  Europäische Methodenlehre/Neuner, § 12 Rn. 4; Europäische Methodenlehre/ Riesenhuber, § 10 Rn. 14 ff. 78  EuGH,

60

C. Deliktische Haftung

sondere den „effet utile“ einbeziehen.80 In der historischen Auslegung werden die alten Fassungen einer Norm sowie der Wille des europäischen Verordnungsgebers bedacht. Ob ein Begriff autonom auszulegen ist, ist eine Frage, die vor der weiteren Untersuchung beantwortet werden muss.81 (aa) Voraussetzungen autonomer Auslegung Bei Gemeinschaftsrecht ist die autonome Auslegung aus Gründen der Rechtsangleichung grundsätzlich geboten.82 Sie ist unstrittig dann gewollt, wenn Begriffe im Rechtsakt selbst legaldefiniert sind.83 Umgekehrt ist eine mitgliedstaatliche Auslegung gefordert, falls auf das mitgliedstaatliche Recht entweder vollumfänglich oder vereinzelt verwiesen wird.84 Gleichermaßen ist sie angebracht, wenn der Rechtsakt auf der Tradition eines Mitgliedstaates beruht und dieser nachempfunden wurde.85 Ist keines dieser Kriterien gegeben, ist zu erörtern, ob eine einheitliche Begriffsbildung vielleicht unmöglich ist oder gar nicht beabsichtigt war. Unter Umständen wollte der Verordnungsgeber den jeweiligen Regelungsgegenstand nur teilweise harmonisiert regeln. Hat der Rechtsakt nicht das Ziel der Rechtsangleichung, müsste er nicht autonom, sondern mitgliedstaatlich ausgelegt werden.86 Zusammenfassend muss bestimmt werden, ob der Zweck der Regelung eine autonome Auslegung verlangt, wobei dies in der Regel anzunehmen ist.87

80  Vgl.

Allgemeine Rechtslehre/Röhl/Röhl, S. 605. Methodenlehre/Riesenhuber, § 10 Rn. 4 f. 82  EuGH, Urteil vom 18.01.1984, Rs. C-327/82 (Ekro), Slg. 1984, I-107, Rn. 11; EuGH Urteil vom 19.09.2000, Rs. C-287/98 (Linster), Slg. 2000, I-6917, Rn. 43; EuGH Urteil vom 17.03.2005, Rs. C-170/03 (Feron), Slg. 2005, I-2299, Rn. 26; EuGH Urteil vom 14.12.2006, Rs. C-316/05 (Nokia), Slg. 2006, I-12083, Rn. 21; EuGH Urteil vom 03.07.2016, Rs. C-128/11 (UsedSoft), Rn. 39; Europäische Methodenlehre/Riesenhuber, § 10 Rn. 6; Europäische Methodenlehre/Stotz, § 22 Rn. 19. 83  Europäische Methodenlehre/Riesenhuber, § 10 Rn. 4. 84  EuGH, Urteil vom 18.01.1984, Rs. C-327/82 (Ekro), Slg. 1984, I-107, Rn. 11; EuGH Urteil vom 17.03.2005, Rs. C-170/03 (Feron), Slg. 2005, I-2299, Rn. 26; EuGH Urteil vom 14.12.2006, Rs. C-316/05 (Nokia), Slg. 2006, I-12083, Rn. 21; Europäische Methodenlehre/Riesenhuber, § 10 Rn. 4, 6. 85  Europäische Methodenlehre/Riesenhuber, § 10 Rn. 5. 86  Europäische Methodenlehre/Riesenhuber, § 10 Rn. 7. 87  EuGH, Urteil vom 18.01.1984, Rs. C-327/82 (Ekro), Slg. 1984, I-107, Rn. 11; EuGH Urteil v. 19.09.2000, Rs. C-287/98 (Linster), Slg. 2000, I-6917, Rn. 43; EuGH Urteil vom 14.12.2006, Rs. C-316/05 (Nokia), Slg. 2006, I-12083, Rn. 21. 81  Europäische



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO61

(bb) Autonome Auslegung von „Treu und Glauben“? Zur Beantwortung der Frage nach einer autonomen Auslegung sind zunächst die Kriterien der Legaldefinition, der Verweisung, der Rechtstradition und die Möglichkeit einheitlicher Begriffsbildung heranzuziehen. Der Begriff „Treu und Glauben“ ist in der Verordnung weder legaldefiniert noch enthält die Verordnung einen ausdrücklichen, vollumfänglichen Verweis auf mitgliedstaatliches Recht. Der Terminus könnte aber auf der Tradition eines Mitgliedstaates aufbauen und einem dortigen Begriffsverständnis nachempfunden sein. Konzepte von „Treu und Glauben“ finden sich durchaus in einigen mitgliedstaatlichen Rechtsystemen, wie etwa dem spanischen, dem französischen, dem englischen und dem deutschen. Diese unterscheiden sich stark voneinander: Im deutschen Recht ist das „Treu und Glauben“-Prinzip in § 242 BGB kodifziert. Es wirkt nicht nur auf andere Gesetze ein, sondern es dient der Rechtsprechung auch als Grundlage für die Schaffung neuer Rechtsinstitute, wie dem unredlichen oder dem widersprüchlichen Verhalten.88 Weil solches in vielen Konstellationen auftreten kann, hat das deutsche „Treu und Glauben“-Prinzip einen weiten Anwendungsbereich. Es ist eines der eingriffsintensivsten Verständnisse von Treu und Glauben in den euro­ päischen Rechtsordnungen.89 Den Rechtsordnungen von England und Irland, die zumindest bei Entstehung der DS-GVO noch Mitgliedstaaten waren, ist „Treu und Glauben“ als alleinstehendes Prinzip hingegen unbekannt. An seine Stelle treten spezielle Regelungen, die letztlich dieselben Wertungen treffen.90 Es wird daher angezweifelt, dass der Acquis communautaire für den „Treu und Glauben“-Begriff eine eigene Definition und damit einen eigenen Inhalt habe. Werde er im EU-Recht verwendet, sei er lediglich dazu gedacht, den jeweiligen Gerichten und nationalen Rechtsordnungen einen Entscheidungsspielraum zuzugestehen.91 Eine autonome Auslegung wäre danach ausgeschlossen. Gerade, weil der „Treu und Glauben“-Begriff derart vielfältig und weit verbreitet ist, wurde er fortentwickelt und rechtsvergleichend eine einheitliche europäische Begriffsgrundlage formuliert. Dies geschah durch die „Acquis Principles“ (ACQP)92, den „Draft Common Frame of Reference“ (DCFR)93 88  Grundregeln/von

Bar, Art. 1:201 Anmerkungen Nr. 2. Bar, Art. 1:201 Anmerkungen Nr. 1. 90  Grundregeln/von Bar, Art. 1:201 Anmerkungen Nr. 3. 91  Europäisches Vertragsrecht/Schulze/Zoll, § 4 Rn. 27, 29. 92  Zu finden unter: https://jura.urz.uni-heidelberg.de/mat/file_viewer.php?fid= 13889, zuletzt abgerufen am 18.05.2022. 93  Draft Common Frame of Reference, zu finden unter: https://max-eup2012.mpipriv. de/index.php/Common_Frame_of_Reference_(CFR), zuletzt abgerufen am 18.05.2022. 89  Grundregeln/von

62

C. Deliktische Haftung

und die „Principles of European Contract Law“ (PECL)94. Auch in Gesetzgebungsprojekten wie denjenigen der Richtlinie 93/13/EWG (Klausel-RL) und dem GEK-VO-E95 wurde der Begriff aufgenommen. Mit diesen Projekten werden die Rechtstraditionen zum Prinzip „Treu und Glauben“ der Mitgliedstaaten vom europäischen Gesetzgeber zwar als Grundlage verwendet, aber auch bewusst fortgeschrieben. Sie belegen, dass eine einheitliche Begriffs­ bildung möglich ist und praktiziert wird. Um ein einheitliches Verständnis in der EU weiter zu gewährleisten, ist der Begriff „Treu und Glauben“ daher autonom und nicht mitgliedstaatlich auszulegen. Hinzu kommt, dass der Verordnungsgeber etwa in Art. 23 DS-GVO Öffnungsklauseln aufgenommen hat, die die Anwendung mitgliedstaatlichen Rechts in bestimmten Fällen erlauben. Im Umkehrschluss ist er in anderen Fällen nicht heranzuziehen. (b) Ansicht der Literatur In der Literatur finden sich kaum Stimmen, die den „Treu und Glauben“Begriff mit konkretem Inhalt füllen. Er soll aber jedenfalls den Betroffenen vor Verarbeitungen seiner Daten schützen, die unklar sind und die er nicht nachvollziehen kann.96 Es wird auch vertreten, dass mit ihm der Verhältnismäßigkeitsgrundsatz festgeschrieben werden soll, den bereits das BDSG a. F. verlangte. Danach soll zu prüfen sein, ob die Verarbeitung einen legitimen Zweck fördere, sie das mildeste gleich effektive Mittel sei und eine Abwägung des verfolgten Zwecks mit der Beeinträchtigung für den Betroffenen zugunsten der Verarbeitung ausfalle.97 Worauf diese Auslegung beruht, wird in der Literatur aber nicht dargelegt. Daher folgt hier eine grundlegende Auslegung des „Treu und Glauben“-Begriffs. (c) Wortlautauslegung Was „Treu und Glauben“ heißt, führt der Normwortlaut nicht weiter aus. Zwar können auch andere Sprachversionen herangezogen werden, wie sich aus Art. 342 AEUV i. V. m. Art. 1, 4 der Verordnung Nr. 1 zur Regelung der Sprachfrage für die Europäische Wirtschaftsgemeinschaft (Abl. L 17 vom

94  Principles of European Contract Law, zu finden unter: http://www.jus.uio.no/ lm/eu.contract.principles.parts.1.to.3.2002/1.101.html, zuletzt abgerufen am 18.05. 2022. 95  Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über ein Gemeinsames Europäisches Kaufrecht vom 11.10.2011, KOM(2011) 635. 96  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil 2 Rn. 3. 97  Wybitul DS-GVO/Wybitul, Teil 1, Rn. 67.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO63

6.10.1958) ergibt.98 Diese füllen den Begriff aber nicht mit mehr Inhalt. Die spanische Version verwendet „leal“, die französische „loyale“ und die englische „fairly“, die im Deutschen mit „loyal“, „treu“, „gerecht“ oder „billig“ zu übersetzen sind. (d) Systematische Auslegung Für die systematische Auslegung von „Treu und Glauben“ nach Art. 5 Abs. 1 lit. a Var. 2 DS-GVO ist primär auf das Europarecht zurückzugreifen.99 Schließlich ist hier, wie oben festgestellt, eine autonome Auslegung anstelle einer Auslegung des mitgliedstaatlichen Rechts geboten. Es wird vertreten, dass sich dem Europarecht kaum entnehmen lässt, was „Treu und Glauben“ bedeutet.100 Das europäische Verbraucher- und Vertragsrecht beinhalten aber Ansätze eines solchen Prinzips.101 Sie wurden einerseits in den ACQP, dem DCFR und den PECL untersucht. Hierbei handelt es sich um private, wissenschaftliche Exegesen verschiedener europäischer Rechtsvorstellungen. Sie versuchen abzuleiten, was diese vereint und beschreiben dadurch gemeinschaftlich-europäische Aspekte. Folglich können sich mit ihnen Erkenntnisse über europäisches Recht gewinnen lassen.102 Da sie materiellrechtlich aufgebaut sind, können sie auch in der Praxis angewendet werden. Zudem hat das Prinzip in die Klausel-RL und den GEK-VO-E Eingang gefunden. Zwar behandeln die vorgenannten Werke das Vertragsrecht, worunter das Datenschutzrecht nicht ohne Weiteres fällt. Sie betreffen damit aber eine Beziehung zwischen mehreren Beteiligten. Mit dem „Treu und Glauben“Begriff formulieren sie eine Form des Ausnutzens. Auch das Datenschutzrecht hat das Ziel, das Ausnutzen einer Beziehung zwischen mehreren Beteiligten zu verhindern. Wenn es den vertragsrechtlichen Begriff „Treu und Glauben“ aufgreift, könnten auch die dem Vertragsrecht entstammenden Auslegungserkenntnisse zu übernehmen sein. Dies wird im Folgenden untersucht.

98  Europäische

Methodenlehre/Riesenhuber, § 10 Rn. 14 ff. Europäisches Privatrecht/Heiderhoff, Rn. 417; Europäisches Vertragsrecht/ Schulze/Zoll, § 4 Rn. 42. 100  Europäisches Vertragsrecht/Schulze/Zoll, § 2 Rn. 122 ff.; Handwörterbuch/Ranieri, S.  1500 f. 101  Europäisches Privatrecht/Heiderhoff, Rn. 300; 417. 102  Vgl. Europäisches Vertragsrecht/Schulze/Zoll, § 4 Rn. 42. 99  Vgl.

64

C. Deliktische Haftung

(aa) ACQP Für die „Acquis Principles“ ist der Treu und Glauben-Grundsatz ein Eckpfeiler des Europarechts. Als treuwidrig betrachten sie unter anderem die Herbeiführung eines wesentlichen Ungleichgewichts der Rechte und Pflichten der Beteiligten (Art. 6:301 Abs. 1 ACQP), die fehlende Möglichkeit, ­einen unbefristeten Vertrag zu beenden (Art. 6:305 Abs. 1 lit. g ACQP) sowie die einseitige Vertragsänderung durch den Unternehmer (Art. 6:305 Abs. 1 lit. i ACQP).103 Es lässt sich außerdem in Art. 2:102 ACQP einen Zusammenhang mit der Pflicht zur Rücksichtnahme auf die „berechtigten Erwartungen“ des Verbrauchers ausmachen. Auf die Verarbeitung personenbezogener Daten lässt sich dies übertragen. Für Persönlichkeitsprofile bedeutet das, dass der Betroffene die Möglichkeit haben muss, Akkumulierung, Bildung und Verwendung von Profilen zu beenden oder jedenfalls Einfluss auf sie nehmen zu können. Wesentlich ist, dass die Interessen des Betroffenen Berücksichtigung finden. Dies wird aber bereits an andere Stelle in der DS-GVO verlangt: Die Interessen des Betroffenen werden durch die Erlaubnissätze (Art. 6 Abs. 1 DS-GVO) geschützt. Möglichkeiten der Einflussnahme hat der Betroffene über Ansprüche auf Berichtigung (Art. 16 DS-GVO), Löschung (Art. 17 DS-GVO) und Einschränkung der Verarbeitung (Art. 18 DS-GVO). Darüber hinaus bestehen Widerspruchsrechte der Art. 21 f. DS-GVO. Darüber gehen die auf Treu und Glauben nach DS-GVO übertragenen „Acquis Principles“ nicht hinaus. (bb) DCFR In eine vergleichbare Richtung wie die „Acquis Principles“ geht Art. I. – 1:103 Abs. 1 DCFR. Er verlangt, dass in Bezug auf das jeweilige Rechtsverhältnis ein Verhaltensstandard der Redlichkeit, Offenheit und Rücksicht auf die Interessen der anderen Partei eingehalten wird. Darunter wird insbesondere verstanden, dass nicht im Widerspruch zu einem vernünftigen Vertrauen gehandelt werden darf, das sich auf vorangegangenes Verhalten oder auf Äußerungen stützt (Art. I. – 1:103 Abs. 2 DCFR). Hiernach wären Akkumulierung, Bildung und Verwendung treuwidrig, wenn das Unternehmen ausdrücklich oder konkludent verspräche, derartiges nicht zu tun. Das würde zudem Informationspflichten verletzen und eine eventuelle Einwilligung des Betroffenen unwirksam werden lassen. Die übrigen Aspekte der Redlichkeit und Offenheit finden sich in dem Transparenz-

103  Vgl.

Europäisches Vertragsrecht/Schulze/Zoll, § 4 Rn. 25.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO65

Grundsatz wieder. Weil dieser diesbezüglich spezieller ist, geht er dem Grundsatz Treu und Glauben vor. (cc) PECL Art. 1:201 Abs. 1 i. V. m. Art. 4:109 Abs. 1 PECL versteht unter Treu und Glauben, dass die Abhängigkeit, wirtschaftliche Notlage oder sonstige Schwäche einer Partei nicht unangemessen ausgenutzt werden darf.104 Das ist etwa bei einem offensichtlich groben Ungleichgewicht des Werts gegenseitiger Leistungen der Fall, welches auf der bewussten Ausnutzung der Verhandlungsschwäche oder einer anderen Notlage einer Partei beruht.105 Zunächst muss also eine Verhandlungsschwäche oder Notlage festgestellt werden. Diese können sich aus einem Fehlen wichtiger Informationen über die Datenverarbeitung und die involvierte Technik ergeben. Denkbares Szenario ist auch, dass der Verantwortliche die Vergabe eines Kredits oder einer Versicherung auf den bzw. die der Betroffene stark angewiesen ist, von der Verarbeitung seiner Daten abhängig macht. Dies kann allerdings nur im Einzelfall beurteilt werden. Zudem muss der Wert des Persönlichkeitsprofils mit dem Wert des Telemediendienstes, welcher dem Betroffenen im Austausch für seine personenbezogenen Daten zur Verfügung gestellt wird, verglichen werden. Maßgeblich ist der finanzielle Marktwert. Dass dieser auch für Persönlichkeitsprofile bemessen werden kann, ergibt sich aus entsprechenden kommerziellen und journalistischen Angeboten.106 Stehen der finanzielle Marktwert des Persönlichkeitsprofils und der vom Betroffenen genutzte Telemediendienst in e­ inem groben Ungleichgewicht zueinander und liegt eine Verhandlungsschwäche oder Notlage vor, stellt die Verarbeitung der zum Persönlichkeitsprofil gehörenden personenbezogenen Daten einen Verstoß gegen den Grundsatz von Treu und Glauben dar. (dd) Klausel-RL Art. 3 Abs. 1 der Richtlinie 93/13/EWG („Klausel-RL“) stellt auf die Berücksichtigung von Treu und Glauben bei Verbraucherverträgen ab. Danach ist ein erhebliches und ungerechtfertigtes Missverhältnis der vertraglichen 104  Grundregeln/von

Bar, Art. 4:109 Kommentar Gliederungspunkt A. Bar, Art. 4:109 Kommentar Gliederungspunkt A, B. 106  Siehe zum Wert eines Profils den Financial-Times-Rechner unter http://www. ft.com/cms/s/2/927ca86e-d29b-11e2-88ed-00144feab7de.html#axzz2z2agBB6R, zuletzt abgerufen am 18.05.2022. 105  Grundregeln/von

66

C. Deliktische Haftung

Rechte und Pflichten zwischen den Vertragsparteien auszugleichen. Wie dieser Ausgleich zu gestalten ist, wurde vom EuGH näher ausgeführt: Treu­ widrige beziehungsweise missbräuchliche Klauseln sind als unwirksam anzusehen. Beispiele sind Gerichtsstandvereinbarungen, die es einem Verbraucher erschweren, Rechtsbehelfe einzulegen.107 Unwirksam sind auch Vertragsvereinbarungen, die ausschließlich und ohne Gegenleistung für den Verbraucher nachteilig sind.108 In einer weiteren Entscheidung hat der EuGH darüber ­hinaus nur noch auf die Notwendigkeit der Verständlichkeit einer Vereinbarung und der Vertragsbeendigung hingewiesen und auch hier die letztendliche Entscheidung dem nationalen Gericht überlassen.109 Für die Unwirksamkeit von Klauseln soll es zwar zwei Maßstäbe geben:110 einen europäischen, für ganz offensichtliche Verstöße und einen einfacheren, nationalstaatlichen.111 Es bleibt aber in beiden Fällen Sache des nationalen Gerichts, die Missbrauchsqualität im konkreten Fall festzustellen, womit diesem ein eigener Entscheidungsspielraum zugestanden wird.112 Diese Wertungen sind auf die Persönlichkeitsprofilbildung übertragbar. Die Leistung auf der einen Seite ist das Offenbaren von persönlichen Informationen des Betroffenen durch seine digitale Interaktion, die als personenbezogene Daten vom Verantwortlichen akkumuliert werden können. Die Gegenleistung auf der anderen Seite ist eine Form der Verwendung personenbezogener Daten, die zu einem Vorteil für den Betroffenen führt. Ein eindeutiger Verstoß gegen die Verordnung kann vorliegen, wenn sich aus dem Vergleich von Leistung und Gegenleistung ein ganz offensichtliches Missverhältnis zwischen Verantwortlichem und Betroffenem ergibt. Dies entspricht den aus den PECL übertragenen Vorgaben.

107  EuGH Urteil v. 27.06.2000, Rs. C-240/98 bis C-244/98 (Océano), Slg. 2000, I-4941 Rn. 24; EuGH Urteil v. 04.06.2009, Rs. C-243/08 (Pannon), Slg. 2009, I-4713 Rn. 40. 108  EuGH Urteil v. 01.04.2004, Rs. C-237/02 (Freiburger Kommunalbauten), Slg. 2004, I-3403 Rn. 23. 109  EuGH Urteil v. 26.04.2012, Rs. C-472/10 (Invitel) Rn. 31. 110  EuGH Urteil v. 01.04.2004, Rs. C-237/02 (Freiburger Kommunalbauten), Slg. 2004, I-3403 Rn. 23, 26. 111  EuGH Urteil v. 01.04.2004, Rs. C-237/02 (Freiburger Kommunalbauten), Slg. 2004, I-3403 Rn. 23, 26; Europäisches Vertragsrecht/Schulze/Zoll, § 3 Rn. 29 f. 112  EuGH Urteil v. 01.04.2004, Rs. C-237/02 (Freiburger Kommunalbauten), Slg.  2004, I-3403 Rn. 23, 26; EuGH Urteil v. 04.06.2009, Rs. C-243/08 (Pannon), Slg. 2009, I-4713, Rn. 43; EuGH Urteil v. 09.11.2010, Rs. C-137/08 (VB Pénzügyi Lízing), Slg. 2010, I-10847, Rn. 42 ff.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO67

(ee) GEK-VO-E Wortlautidentisch zu Art. I. – 1:103 Abs. 1 DCFR ist Art. 2 lit. b GEKVO-E113. Diese Verordnung stellt insbesondere in Art. 83 Abs. 1 GEK-VO-E fest, dass ein erhebliches Ungleichgewicht der Kräfte der Parteien mit Treu und Glauben unvereinbar ist. Greifbare Kriterien werden allerdings nicht geboten. (e) Zusammenfassung der Auslegungsergebnisse Wenn der Verantwortliche ausdrücklich oder konkludent behauptet, Persönlichkeitsprofile nicht zu bilden, ergibt sich aus dem Grundsatz von Treu und Glauben, dass er dies auch nicht tun darf. Der Betroffene muss sich über den Umfang der Datenverarbeitung im Klaren sein und die Möglichkeit haben, auf die Profilbildung Einfluss zu nehmen. Diese werden aber von anderen, vorrangigen Normen konkretisiert. Dazu zählen insbesondere der Transparenzgrundsatz (Art. 5 Abs. 1 lit. a Var. 3 DS-GVO), die Informations- und Auskunftspflichten der Art. 12–15 DS-GVO und die auf die Verarbeitung Einfluss nehmenden Betroffenenrechte der Art. 16–18 und 21 DS-GVO. Selbst wenn die vorgenannten Regelungen eingehalten werden, kann der Verantwortliche treuwidrig handeln. Er darf nämlich keine Verhandlungsschwäche oder sonstige Notlage des Betroffenen ausnutzen und ein grobes Ungleichgewicht zwischen dem Wert des Persönlichkeitsprofils für den Verantwortlichen und den als Gegenleistung erhaltenen Vorteilen für den Betroffenen herbeiführen. Es zeigt sich, dass der Treu und Glauben-Grundsatz viele Korrekturmöglichkeiten zugunsten des Betroffenen eröffnen könnte. Als originäre Vorgabe des Treu und Glauben-Grundsatzes verbleibt prinzipiell die Abwägung von Profilverarbeitung mit einer etwaigen Gegenleistung des Verantwortlichen. (2) Akkumulierung der Daten für ein Persönlichkeitsprofil Sollte der Verantwortliche behaupten, dass er keine Daten für ein Persönlichkeitsprofil akkumuliere, wäre es treuwidrig, wenn er es dennoch täte. Fraglich ist, ob grobes Ungleichgewicht zwischen Akkumulierung und Leistung des Verantwortlichen feststellbar ist. Einerseits besteht die Akkumulierung aus einer Vielzahl von Verarbeitungen gegebenenfalls verschiedener Verantwortlicher. Sie greift nicht nur auf eine einzige Quelle zurück, sondern 113  Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über ein Gemeinsames Europäisches Kaufrecht vom 11.10.2011, KOM(2011) 635.

68

C. Deliktische Haftung

auf möglichst viele und verschiedene. Einzeln bescheren diese Daten in der Regel weder dem Verantwortlichem einen großen Vorteil noch dem Betroffenen einen großen Nachteil. Einzelne Akkumulierungs-Verarbeitungen stehen daher nicht in einem groben Ungleichgewicht zur Gegenleistung. Es sind allerdings Szenarien denkbar, in denen ein Ungleichgewicht entstehen kann, wenn zu einem großen Anteil aussagekräftige Daten verarbeitet werden. Dies ist etwa bei einem viel genutzten Shoppingportal oder bei Daten zum finanziellen Verhalten der Fall. Der akkumulierende Verantwortliche könnte durch Verarbeitungen, die auf diesen Daten aufbauen, in die Lage versetzt werden, dem Betroffenen beispielsweise durch Manipulation oder schlechtere Kredite Nachteile zuzufügen. Gleichzeitig kommt dem Betroffenen durch die Akkumulierung kaum ein Vorteil zu. Dieser liegt höchstens in der Möglichkeit, den Betroffenen bei zukünftiger Nutzung zu re-identifizieren, wodurch widerrechtlicher Zugang Dritter zu seinem eventuellen Benutzerkonto verhindert werden könnte. Re-Identifizierung ist hingegen auch auf anderem Wege möglich, etwa durch die sogenannte „2-Faktor-Authentifizierung“, bei der der Betroffene mehrere seiner technischen Geräte zur Anmeldung nutzen muss. Gegen eine Vereinbarkeit mit dem Treu- und Glaubens-Grundsatz spricht auch, dass der Betroffene wegen des großen Umfangs der Akkumulation, der sich zudem kontinuierlich verändert, keine Möglichkeit hat, auf sie Einfluss zu nehmen. Allerdings würden sich weder die Vor- noch die Nachteile aus der Akkumulierung, sondern aus der weiteren Verarbeitung wie der Bildung und ­Verwendung von Persönlichkeitsprofilen ergeben. Die Akkumulierung baut lediglich Potenzial auf. Dass durch die Akkumulierung von Daten ohne ihre weitere Verarbeitung ein grobes Ungleichgewicht zulasten des Betroffenen entsteht, ist nicht anzunehmen. Damit ist die Akkumulierung nur treuwidrig, wenn sie dem Betroffenen nicht offengelegt wird. (3) Bildung von Persönlichkeitsprofilen Auch bei der Bildung von Persönlichkeitsprofilen muss der Verantwort­ liche den Betroffenen hierüber aufklären. Entgegen einer anderslautenden, ausdrücklichen Erklärung Persönlichkeitsprofile zu bilden, wäre treuwidrig. Ob durch die Profilbildung allerdings ein grobes Ungleichgewicht im Verhältnis zur Gegenleistung, die der Betroffene empfängt, entstehen kann, ist fraglich. Im ersten Schritt ist das Vorliegen einer Notlage oder einer schwachen Verhandlungsposition zu prüfen. Erstere kann sich etwa daraus ergeben, dass im Rahmen einer Kreditvergabe ein Scorewert auf Grundlage eines Persönlichkeitsprofils erstellt werden soll und dem Betroffenen entweder wichtige Informationen über die Datenverarbeitung und die zugrundeliegende



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO69

Technik vorenthalten werden oder er auf den Kredit stark angewiesen ist. In einer schwachen Verhandlungsposition kann sich ein Betroffener befinden, weil er unzureichend über die Verarbeitung informiert ist. Für ein grobes Ungleichgewicht müsste aber die Profilbildung wesentlich einschneidender sein als der Krediterhalt. Die bloße Bildung von Persönlichkeitsprofilen stellt allerdings keine konkrete Belastung des Betroffenen dar und kann sich daher nicht in einem groben Ungleichgewicht mit dem Krediterhalt befinden. Die Bildung von Persönlichkeitsprofilen ist damit nicht treuwidrig. (4) Verwendung von Persönlichkeitsprofilen als treuwidrig Auch bei der Verwendung von Persönlichkeitsprofilen gilt, dass der Verantwortliche nicht behaupten darf, er würde keine Persönlichkeitsprofile verwenden. Zudem muss über den Umfang der Verwendung aufgeklärt werden. Fraglich ist allerdings, inwieweit die Verwendung von Persönlichkeitsprofilen ein grobes Ungleichgewicht zur vom Betroffenen empfangenen Gegenleistung darstellt. Hier ist auf beispielhafte Szenarien einzugehen. Persönlichkeitsprofile können verwendet werden, um einen Versicherungs- oder FinanzScore zu erstellen, aufgrund dessen die vom Betroffenen zu zahlenden Raten festgesetzt werden. Diese Raten sind eine finanzielle Größe mit Marktwert. Auch den verarbeiteten Daten lässt sich ein finanzieller Marktwert zuordnen.114 Dieser gibt aber den Wert der Verwendung eines Persönlichkeitsprofils nicht abschließend wieder. Profilverwendungen betreffen nämlich das allgemeine Persönlichkeitsrecht, also einen ideellen Wert. Ihn allgemeingültig zu bestimmen, ist schwierig. Eine Person mag der Verwendung ihres Persönlichkeitsprofils einen geringen Wert beimessen, eine andere einen hohen. Eine solche philosophisch-abstrakte Wertung lässt sich aber nicht für allgemeingültig erklären. Daher kann den ideellen Wert der Verwendung seines Persönlichkeitsprofils nur der Betroffene selbst bestimmen. Darüber hinaus ist zu berücksichtigen, dass ein den wirtschaftlichen Verhältnissen angemessener Score für den Betroffenen auch Vorteile birgt, die ihm als Gegenleistung zuteilwerden können. Er kann nämlich vor Raten geschützt werden, die seine finanziellen Möglichkeiten übersteigen. Die Profilverwendung muss also nicht notwendigerweise zu einem Nachteil führen. Entsprechendes gilt für die Verwendung von Persönlichkeitsprofilen für Werbung oder Produktzuschneidung. Auch hier muss der Betroffene selbst bestimmen, ob die Individualisierung ihm Gewinn verspricht. Wird das Persönlichkeitsprofil für Voter Targeting verwendet, ist letztendlich auch der 114  Siehe

oben Abschnitt C.I.1.c)bb)(1)(d)(dd).

70

C. Deliktische Haftung

Einzelfall maßgeblich. Es spricht aber einiges dafür, dass der Wert der Profilverwendung hier allgemeingültiger zu bestimmen ist als bei den anderen vorgenannten Verwendungskontexten. Der Wahlvorgang ist ein essenzielles Element unserer demokratischen Gesellschaft. Er betrifft alle, nicht nur das Individuum. Daher muss von der Gesellschaft bewertet werden können, was mit der Wahl in Verbindung steht. Dies muss in die Einzelfallbewertung einfließen. Zusammenfassend stellt die Profilverwendung nicht prinzipiell ein grobes Ungleichgewicht und damit eine treuwidrige Verarbeitung dar. Dies ist im Einzelfall zu beurteilen. (5) Z  wischenergebnis des Treu und Glauben-Grundsatzes nach Art. 5  Abs. 1 lit. a Var. 2 DS-GVO Werden die Betroffenenrechte umgesetzt, Transparenz- und Informationspflichten eingehalten und geben diese die tatsächliche Verarbeitung wieder, so ist die Verarbeitung nicht treuwidrig. Rechtliche Auswirkungen des Treu und Glauben-Grundsatzes bestehen daher letztlich kaum. Es verbleibt lediglich eine abstrakte Korrektivfunktion, die allerdings durch die Rechtsprechung ausgestaltet werden kann. cc) Transparenz (Art. 5 Abs. 1 lit. a Var. 3 DS-GVO) (1) Anforderungen des Transparenzgrundsatzes (a) Ansicht der Literatur Der Transparenzgrundsatz wird als besonders wichtig erachtet,115 weil insbesondere Profiling kaum Einschränkungen unterworfen ist und sich somit hauptsächlich nach den Art. 5 und 6 DS-GVO bestimmt. Die Verarbeitung personenbezogener Daten soll nach Art. 5 Abs. 1 lit. a DS-GVO dann transparent sein, wenn sie „in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden“.116 Was Nachvollziehbarkeit bedeutet, wird in der Literatur kaum weiter ausgeführt. Mit den Informationspflichten der Art. 12 ff. DS-GVO soll dies aber nicht notwendigerweise gleichzusetzen sein.117 Zwar werde der Transparenzgrundsatz mit diversen Informations-

DuD 2016, 566, 570; Moos/Rothkegel, ZD 2016, 561, 567. DuD 2016, 566, 567. 117  Wendlandt, VuR 2004, 117, 123. 115  Kugelmann, 116  Kugelmann,



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO71

pflichten ausgestaltet, er soll aber über diese speziellen, „einfachgesetz­ lichen“ Informationspflichten hinausgehen. (b) Auslegung des historischen Verordnungsgeberwillens Die Erwägungsgründe nennen einzelne Aspekte, über die im Rahmen des Transparenzgrundsatzes informiert werden muss. Danach soll der Betroffene erfahren können, welche seiner Daten in welchem Umfang gegenwärtig oder zukünftig erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden (ErwG. 39 S. 4; 60 S. 1 DS-GVO). Weiterhin müssen die Identität des Verantwortlichen, die Verarbeitungszwecke sowie alle übrigen relevanten Informationen offenbart werden (ErwG. 39 S. 4 DS-GVO). Zusätzlich ist über Risiken, Vorschriften, Garantien und Rechte des Betroffenen zu informieren (ErwG. 39 S. 5 DS-GVO). Findet Profiling statt, muss darauf und auf dessen Folgen hingewiesen werden (ErwG. 60 S. 3 DS-GVO).118 Werden die Daten einem neuen Verantwortlichen übermittelt oder wird der Zweck geändert, muss auch dies dem Betroffenen mitgeteilt werden (ErwG. 61 S. 3 DSGVO). Zusätzlich soll über eine eventuelle Verpflichtung zur und die Folgen einer Bereitstellung der Daten (ErwG. 60 S. 4 DS-GVO) informiert werden. Die Tatsache der Verarbeitung soll grundsätzlich zum Zeitpunkt der Er­ hebung offenbart werden (ErwG. 61 S. 1 DS-GVO). Diese Informationen sollen leicht zugänglich, verständlich und in klarer und einfacher Sprache abgefasst sein und gegebenenfalls standardisierte Bildsymbole enthalten (ErwG. 39 S. 3; 58; 60 S. 5 DS-GVO). (c) Systematische Auslegung Die Transparenz der Verarbeitung ist nicht nur im Transparenzgrundsatz nach Art. 5 Abs. 1 lit. a Var. 3 DS-GVO geregelt, sondern auch in weiteren Einzelnormen der DS-GVO. Weil sie spezieller sind als der Grundsatz, sind sie vorrangig und unmittelbar anzuwenden. Diese finden sich in den Art. 13– 15 DS-GVO. Sie weisen einen Katalog einzelner Informationspflichten auf, der sich weitestgehend mit den Erwägungsgründen deckt. Sie betreffen etwa die Zwecke und Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c; 14 Abs. 1 lit. c DS-GVO), die vorgesehenen Empfänger bei Weiterleitung der personenbezogenen Daten (Art. 13 Abs. 1 lit. e; 14 Abs. 1 lit. e DS-GVO) und die vorgesehene Dauer der Speicherung (Art. 13 Abs. 2 lit. a; 14 Abs. 2 lit. a DS-GVO). Werden die Daten nicht beim Betroffenen direkt erhoben, muss ihre Quelle offenbart werden. Auf Profiling muss gesondert hingewie118  BeckOK

DatenSR DS-GVO/Schild, Art. 4 Rn. 67.

72

C. Deliktische Haftung

sen und über „die Tragweite und die angestrebten Auswirkungen“ aufgeklärt werden. Über die Erwägungsgründe hinausgehend, schließt der Informationsumfang die „involvierte Logik“ des Profilings mit ein (Art. 13 Abs. 2 lit. f; 14 Abs. 2 lit. g DS-GVO). Werden diese speziellen Informationspflichten eingehalten, kann grundsätzlich auch von einer Einhaltung des Transparenzgrundsatzes ausgegangen werden. (d) Auslegung nach Sinn und Zweck Wie Art. 1 Abs. 1 Var. 1; Abs. 2 DS-GVO bestimmt, dient der Transparenzgrundsatz als Verordnungsnorm dem Schutz des Betroffenen. Der Betroffene wird geschützt, wenn er die Verarbeitungsvorgänge nachvollziehen kann und in die Lage versetzt wird, die Auswirkungen der Verarbeitungen auf seine Grundrechte und -freiheiten zu beurteilen. Dadurch wird das Informationsgefälle zwischen Verarbeitendem und Betroffenem beschränkt, welches durch die Verarbeitung entstehen kann. Der Transparenzgrundsatz ermächtigt den Betroffenen frei und unmanipuliert am Markt teilzunehmen. Nur dann kann er gegebenenfalls Gefährdungen erkennen und effektiven Rechtsschutz üben. Der Transparenzgrundsatz hat damit die Funktion einer Rückversicherung gegen eventuelle Regelungslücken der Verordnung. Möglich ist das nur, wenn auch über komplexe Verarbeitungen verständlich informiert wird, ohne den Informationsgehalt zu beschneiden. Einen informierten Betroffenen zu haben, ist zudem im gesellschaftlichen Interesse.119 (e) Zusammenfassung Der Transparenzgrundsatz kann auf konkrete Transparenzpflichten heruntergebrochen werden. Es muss erkennbar sein, wer Verantwortlicher ist, dass Verarbeitung überhaupt stattfindet, welche Daten verarbeitet und aus welchen Quellen die Daten stammen, wie lange sie gespeichert werden, welchen Umfang die Verarbeitung gegenwärtig hat und zukünftig haben wird, welche Verarbeitungszwecke festgelegt sind, ob die Zwecke geändert werden, ob Profiling stattfindet, welche Auswirkungen es hat, welche Verarbeitungslogik zugrunde liegt, welche Risiken, Vorschriften, Garantien und Rechte des Betroffenen bestehen, ob dieser zur Bereitstellung seiner personenbezogenen Daten verpflichtet ist und welche Empfänger es gibt oder geben soll. Kurzum ist also über den gesamten Verarbeitungsweg aufzuklären. Dies muss sowohl der Verarbeitungskomplexität als auch dem Informationsinteresse des Betroffenen gerecht werden. Leitgedanke ist stets, dass sich der Betroffene effektiv gegen unzulässige Verarbeitung schützen kann. 119  Wendlandt,

VuR 2004, 117, 118 f.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO73

(2) A  kkumulierung der Daten für ein Persönlichkeitsprofil und „Transparenz“ Zunächst ist über die Tatsache der Akkumulierung aufzuklären und wer sie verantwortet. Zudem ist zu offenbaren, welche Daten akkumuliert werden, woher diese stammen und wie lange sie gespeichert werden. Auch die Verarbeitungslogik ist zu beschreiben. Diese besteht darin, dass möglichst viele und möglichst verschiedene Daten gesammelt und zusammengeführt werden sollen. Ein wichtiger Bestandteil ist die Informierung über Umfang der Verarbeitung und die Risiken für den Betroffenen. Daten werden durch Akkumulierung ihrem ursprünglichen Entstehungskontext enthoben und neu zusammengeführt. Dies hat abstrakte Folgen für den Betroffenen. Dazu zählt nicht nur, dass mit den akkumulierten Daten Persönlichkeitsprofile gebildet werden. Bedeutsam ist insbesondere, dass die Bildung von Persönlichkeitsprofilen ein sich selbst bestärkender Vorgang ist, der eine immer tiefergehende Ausforschung der Persönlichkeit ermöglicht.120 Nicht zuletzt handelt es sich hierbei auch um Profiling.121 Der Betroffene muss aber auch deshalb über die Bildung informiert werden, weil sich ein Persönlichkeitsprofil faktisch, ungeachtet juristischer Grenzen, an beliebig viele Stellen weiterleiten lässt, die einen Einfluss auf das Leben des Betroffenen haben können, wie etwa Banken, Arbeitgeber oder staatliche Stellen.122 Konkrete Auswirkungen auf den Betroffenen ergeben sich erst aus der Verwendung des gebildeten Persönlichkeitsprofils. Hierzu zählen beispielsweise Werbung oder Scoring. Soll der Betroffene umfassend infomiert werden, muss er auch hierauf hingewiesen werden. Werden die Auswirkungen der Akkumulierung derart beschrieben, wird gleichzeitig die Forderung nach der Nennung der Verarbeitungszwecke erfüllt. Findet die Akkumulierung nicht beim Verantwortlichen statt, muss über die Quellen der Daten aufgeklärt werden. Auch der Verantwortliche für die Akkumulierung ist zu nennen. Sollen die akkumulierten Daten an Dritte weitergeleitet werden, sind diese Empfänger ebenfalls zu benennen. Es muss also erkennbar sein, ob der Verantwortliche die Akkumulierung allein vornimmt oder in Zusammenarbeit mit anderen verantwortlichen Stellen.

120  Siehe

oben Abschnitt B.III.2.e). oben Abschnitt C.I.1.b)dd)(1). 122  Vgl. Jandt/Laue, K&R 2006, 316, 317. 121  Siehe

74

C. Deliktische Haftung

(3) Bildung von Persönlichkeitsprofilen und „Transparenz“ Werden Persönlichkeitsprofile gebildet – also Daten in großem Umfang zusammengeführt, ein Personenbezug hergestellt und neue Daten generiert – muss dies schon deswegen kundgetan werden, weil es sich hierbei um Pro­ filing im Sinne des Art. 4 Nr. 4 DS-GVO handelt. Auch der für die Akkumulierung Verantwortliche muss offenbart werden. Es müssen die verschiedenen Quellen der akkumulierten Daten offengelegt werden. Unter dem Begriff „Quelle“ ist nicht nur die nächste verantwortliche Stelle, sondern die Zusammenfassung aller Stellen zu verstehen. Weil der Verantwortliche, der das Persönlichkeitsprofil bildet, nicht mit dem identisch sein muss, der die Daten akkumuliert und der Akkumulierende den Betroffenen über die Profilbildung nicht aufgeklärt haben könnte, muss über die verschiedenen Identitäten von akkumulierenden einerseits und profilbildenden Verantwortlichen andereseits aufgeklärt werden. Nur dann kann der Betroffene eine Verbindung zwischen Akkumulierung und Profilbildung herstellen. Haben die Daten mehrere Stellen durchlaufen, so ist ihr gesamter Weg aufzuzeigen. Dementsprechend sind auch alle konkreten Empfänger zu benennen, an welche die Daten technisch-automatisiert weitergegeben werden. Bei der Beschreibung der Verarbeitungslogik, den Umfang der Verarbeitung und den Risiken für den Betroffenen, ist der Schwerpunkt der Transparenzpflichten ein anderer als bei der Akkumulierung. Hier muss, konkreter noch als bei der Akkumulierung, dargestellt werden, dass personenbezogene Daten neu generiert und neu zugeordnet werden können. Das bedeutet, dass erkennbar sein muss, welcher Art die neu generierten oder neu zugeordneten Daten sind. Mit Art der Daten sind die Lebensbereiche gemeint, die sie betreffen. Beispielsweise könnte es sich um Daten handeln, die die Konsumwünsche oder die politischen Einstellungen prognostizieren. Ebenso muss darüber informiert werden, ob das Persönlichkeitsprofil mehrere Lebens­ aspekte des Betroffenen umfasst oder einzelne sehr tiefgehend ausleuchtet. Schließlich ist maßgeblich, dass der Betroffene die Risiken abschätzen kann, die sich aus einem über ihn gebildeten Persönlichkeitsprofil ergeben. Daher muss ihm erklärt werden, dass ein Persönlichkeitsprofil Manipulationsmöglichkeiten eröffnet, woraus die Einschränkung von Wahlfreiheit und unter Umständen schlechtere Raten bei Krediten und Versicherungen resultieren können. Angesichts der Komplexität internetbasierter Akkumulation und Profilbildung kann die Gefahr einer „Überdosierung“ von Informationen, die den Betroffenen überfordern und dadurch Transparenz verhindern kann, entstehen.123 123  Europäisches

120 f.

Privatecht/Heiderhoff, Rn. 252 f.; Wendlandt, VuR 2004, 117,



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO75

Das Weglassen von Informationen liefe dem Transparenzgebot aber zuwider. Insofern wird in der Praxis das Verwenden von verständlicher „Schlüsselinformation“ zu verlangen sein.124 In Form eines sog. „Chunks“ werden unter einer Schlüsselinformation mehrere weiterführende Informationen zusammengefasst.125 Danach müssen die geforderten Vereinfachungen wie Bildsymbole auf tiefergehende Auskünfte verlinken und dürfen sich nicht auf eine oberste, oberflächliche Informationsebene beschränken. (4) Verwendung von Persönlichkeitsprofilen und „Transparenz“ Bei der Verwendung von Persönlichkeitsprofilen handelt es sich um den dritten Schritt einer zusammenhängenden Verarbeitungsreihe. Daher müssen nicht nur die Tatsache der Profilverwendung und der Verantwortliche beschrieben werden. Retrospektiv ist die Quelle der verwendeten Daten, also Akkumulierung und Profilbildung, zumindest überblickartig zu beschreiben. Verarbeitungslogik, Umfang und Zweck der Profilverwendung sind zu beschreiben, indem erklärt wird, wofür die Persönlichkeitsprofile verwendet werden sollen. Sie können etwa für Werbung, Scoring oder Voter Targeting verwendet werden. Zudem muss kenntlich gemacht werden, welche Profil­ daten in welchen Bereichen eingesetzt werden. Falls beispielsweise für Werbung insbesondere solche Profildaten verwendet werden, die den zukünftigen Konsum des Betroffenen prognostizieren, ist dies entsprechend zu beschreiben. Wem das Persönlichkeitsprofil gegebenenfalls verfügbar gemacht wird, ist zu benennen. Der Betroffene kann so abschätzen, welche Auswirkungen die Verwendung von Profildaten auf seine Grundrechte und Grundfreiheiten hat. Sollen die Persönlichkeitsprofile weitergeleitet werden, müssen die Empfänger benannt werden. (5) Z  wischenergebnis zum Transparenzgrundsatz nach Art. 5 Abs. 1 lit. a Var. 3 DS-GVO Im Ergebnis muss dem Betroffenen der gesamte Verarbeitungsweg in möglichst jeder Facette der Akkumulierung personenbezogener Daten, der Bildung und der Verwendung von Persönlichkeitsprofilen offengelegt werden. Aus den verschiedenen Verarbeitungsschritten ergeben sich aber verschiedene Folgen für den Betroffenen, welche sich in der Schwerpunktset124  Vgl.

123.

Europäisches Privatecht/Heiderhoff, Rn. 256; Wendlandt, VuR 2004, 117,

125  Wendlandt,

VuR 2004, 117, 120 f.

76

C. Deliktische Haftung

zung der Darstellung des Verarbeitungsprozesses niederschlagen müssens. Werden sie von verschiedenen Verantwortlichen ausgeführt, müssen die voran­gegangenen oder nachgeschalteten Verantwortlichen ebenfalls genannt werden. dd) Zweckbindung (Art. 5 Abs. 1 lit. b HS. 1 DS-GVO) Der in Art. 5 Abs. 1 lit. b DS-GVO normierte Zweckbindungsgrundsatz ist selbst unter Berücksichtigung der anderen Grundsätze ein Eckstein des Datenschutzes.126 Er bestimmt die Schutzwirkung aller anderen Grundsätze.127 So verlangt etwa der Transparenzgrundsatz, dass über den Verarbeitungszweck informiert werden muss. Diese herausragende Stellung hat er inne, weil er Datenverarbeitungen verbietet, die sich nicht einem konkreten Zweck zuordnen lassen.128 So will er eine willkürliche Datenverarbeitung verhindern. Nach Art. 5 Abs. 1 lit. b DS-GVO muss jede Verarbeitung Zwecken entsprechen, die festgelegt, eindeutig und legitim sind. Dies gilt für jeden Verarbeitungsvorgang: bei der erstmaligen Erhebung ebenso wie bei jeder folgenden Verarbeitung. Insbesondere bei „Big Data“-Anwendungen, zu denen auch die Bildung und Verwendung von Persönlichkeitsprofilen zählen,129 stellt sich die Frage, ob sie mit dem Zweckbindungsgrundsatz vereinbar sind.130 Zu prüfen ist dies daran, ob Akkumulierung, Bildung und Verwendung von Persönlichkeitsprofilen einem Zweck entsprechen können, der festgelegt, eindeutig und legitim ist. (1) Tatbestandsmerkmal „festgelegt“ Zunächst wird untersucht, ob Akkumulierung, Bildung und Verwendung von Persönlichkeitsprofilen einem „festgelegten“ Zweck entsprechen können. Was unter diesem Tatbestandsmerkmal zu verstehen ist, ist zu erörtern.

126  BVerfG NJW 1984, 419, 422 f. („Volkszählungsurteil“); Dammann, ZD 2016, 307, 311; Paal/Pauly DS-GVO/Frenzel, Art. 5 Rn. 23; Richter, DuD 2015, 735, 735. 127  WP 203, S. 14 f. 128  Vgl. WP 203, S. 4 f., 12 f. 129  Siehe oben Abschnitt B.V. 130  Vgl. Buchner, DuD 2016, 155, 157; Grafenstein, DuD 2015, 789, 790.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO77

(a) Anforderungen des Festlegungsmerkmals (aa) Ansicht der Literatur Die Literatur hat sich vielfach an einer Definition des Festlegungsmerkmals versucht. Ein Zweck soll als festgelegt gelten, wenn er „hinreichend klar und präzise“ definiert ist.131 Bei der Zweckfestlegung soll entscheidend sein, dass der Betroffene einschätzen kann, welche Arten der Verarbeitungen stattfinden werden und welche nicht.132 Der Zweck soll nämlich als Grundlage für die Beurteilung der Rechtmäßigkeit und des Einsatzes von datenschützenden Garantien dienen können.133 Festlegungen wie „Verbesserung der Nutzererfahrung“ oder „Werbemaßnahmen“ sollen hierfür nicht ausreichen, sofern sich auch nicht aus dem Kontext weitere Informationen entnehmen lassen.134 Als Faustregel soll gelten, dass der Zweck umso genauer festgelegt werden muss, je weniger die Möglichkeit besteht, aus den Umständen der Verarbeitung weitere Informationen über den Betroffenen zu ziehen.135 Der Zweck, für den die Daten erhoben worden sind, ist der in Art. 5 Abs. 1 lit. b HS. 2 DS-GVO genannte „ursprüngliche“ Zweck. Er wird auch als „Primärzweck“ bezeichnet. Dieser soll, auch bei einer Weitergabe der Daten, jeden folgenden Verarbeitenden binden.136 Er soll durch den Verantwort­ lichen festgelegt werden, der die Daten zuerst erhoben hat.137 Eine rückwirkende Festlegung sei nicht möglich.138 Die Festlegung soll zwar von der verantwortlichen Stelle vorgenommen werden, welche konkrete Unternehmensebene dazu ermächtigt ist, lasse die DS-GVO, wie schon das BDSG, offen.139 Wenn aber keine dahingehende Einschränkung existiere, soll die Festlegung auf jeder Unternehmensebene möglich sein. Sollte die verantwortliche Stelle Daten verarbeiten, die keinen festgelegten Zweck haben, so müsse sie selbst einen bestimmen.140

ZD 2016, 507, 509. 203, S. 15 f. 133  WP 203, S. 39. 134  WP 203, S. 15 f. 135  WP 203, S. 51 f. 136  Paal/Pauly DS-GVO/Frenzel, Art. 5 Rn. 29. 137  Paal/Pauly DS-GVO/Frenzel, Art. 5 Rn. 29. 138  WP 203, S. 15. 139  Dammann, ZD 2016, 307 ff. 140  So zu § 28 I 2 BDSG a. F. BeckOK DatenSR BDSG (23. Ed.)/Wolff, § 28 Rn. 15. 131  Monreal, 132  WP

78

C. Deliktische Haftung

Die Festlegung mehr als eines Zweckes wird vom Gesetz nicht ausgeschlossen. Schließlich verwende Art. 5 Abs. 1 lit. b DS-GVO sogar den Plural „Zwecke“. Auch Art. 6 Abs. 1 lit. a DS-GVO, demzufolge die Datenverarbeitung durch Einwilligung gerechtfertigt werden kann, verweise darauf, dass sich die Einwilligung auf mehrere Zwecke einer Verarbeitung beziehen kann.141 Eine multiple Zweckfestlegung sei daher möglich, soweit jede allein, sowie die Gesamtschau der Festlegungen den Anforderungen genüge.142 Um der Komplexität Rechnung zu tragen, sollen auch mehrere Schichten oder Sub-Zwecke möglich sein.143 (bb) Wortlautauslegung Im Wortsinn bedeutet eine Festlegung die Bestimmung eines Aspektes unter Ausschluss aller übrigen, in Frage kommenden Aspekte. Die Festlegung ist an keine bestimmte Form gebunden.144 Entscheidend ist, dass überhaupt etwas bestimmt wird, ein konkreter Genauigkeitsgrad kann hier nicht bestimmt werden. Ein solcher fordert allerdings das Merkmal der Eindeutigkeit des Zwecks. Nach diesem ist zu beurteilen, ob ein Zweck ungenau formuliert ist. (cc) Auslegung nach Sinn und Zweck Die drei Tatbestandsmerkmale des Festlegens, der Eindeutigkeit und der Legitimität binden Verarbeitungen vollumfänglich an Zwecke. So wird verhindert, dass Daten grenzenlos und willkürlich verarbeitet werden. Zu diesem Ziel setzen sie verschiedene Schwerpunkte und ergänzen sich gegenseitig. Dafür bietet es sich an, im Einklang mit dem Wortsinn, im Rahmen der Eindeutigkeit eine möglichst präzise und verständliche Beschreibung des Zwecks zu verlangen und das Festlegungserfordernis als dahingehendes Verlangen zu verstehen, dass überhaupt ein Zweck bestimmt werden soll. Daraus kann aber nicht zwingend gefolgert werden, dass Literaturmeinungen, welche einen gewissen Grad der Bestimmtheit des Zwecks verlangen, um von einer Festlegung im Sinne des Art. 5 Abs. 1 lit. b DS-GVO ausgehen zu können, falsch sind. Sie werden nur dem falschen Tatbestandsmerkmal zugeordnet.

141  Paal/Pauly

DS-GVO/Frenzel, Art. 6 Rn. 3. WP 203, S. 16. 143  WP 203, S. 52 f. 144  BeckOK DatenSR DS-GVO/Schantz, Art. 5 Rn. 14; Taeger/Gabel DS-GVO/ Voigt, Art. 5 Rn. 23. 142  Vgl.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO79

(dd) Auslegung des historischen Verordnungsgeberwillens Die Erwägungsgründe lassen kaum erkennen, wie der Verordnungsgeber das Merkmal der Festlegung ausgefüllt wissen wollte. Aus ErwG. 39 S. 6 DS-GVO ergibt sich allerdings, dass die Festlegung bereits mit Erhebung des personenbezogenen Datums getroffen werden muss. Daraus folgt, dass die Zweckfestlegung durch den für die Erhebung Verantwortlichen erfolgen muss. (ee) Systematische Auslegung Für die systematische Auslegung ist zu berücksichtigen, dass der Zweckbindungsgrundsatz eine vielseitige Rolle hat. Er fördert nicht nur die Einhaltung des Transparenzgrundsatzes des Art. 5 Abs. 1 lit. a Var. 3 DS-GVO, sondern ist auch Grundlage des Grundsatzes der Datenminimierung nach Art. 5 Abs. 1 lit. c DS-GVO. Ebenso kann nur auf Basis des Zweckes der Verarbeitung beurteilt werden, ob die Erlaubnistatbestände des Art. 6 Abs. 1 DS-GVO greifen. Der Verantwortliche ist zudem nach Art. 17 Abs. 1 lit. a DS-GVO zur Löschung der personenbezogenen Daten verpflichtet, wenn ihr Verarbeitungszweck erreicht wurde. Die Einhaltung dieser Vorgaben, der Compliance also, verpflichtet den Verantwortlichen. Das bedeutet, dass er Adressat des der Festlegungsverpflichtung und Garant für dessen Einhaltung ist. Der Verarbeitungszweck muss dergestalt formuliert sein, dass der Verantwortliche auf seiner Grundlage die oben genannten Compliance-Anforderungen umsetzen kann. Das kann er nur dann, wenn die Zwecke ausreichend konkret bestimmt werden. Aus der Festlegung des Zwecks muss etwa erkennbar sein, ob die Datenverarbeitung der Durchführung oder Vorbereitung eines Vertrages mit dem Betroffenen, der Erfüllung rechtlicher Verpflichtungen oder der Verfolgung eines berechtigten Interesses des Verantwortlichen dienen soll (Art. 6 Abs. 1 DS-GVO). Bei einer allgemein gehaltenen Floskel ist Compliance schlechterdings unmöglich. Neben der Adressierung des Verantwortlichen spricht der Zweck auch den Betroffen an. Er ermöglicht ihm die Wahrnehmung seiner Rechte, die im dritten Kapitel der Verordnung (Art. 12–23) aufgeführt werden. Die Beurteilung der Beeinträchtigung dieser Rechte richtet sich danach, zu welchem Zweck seine Daten verarbeitet werden. Will er über die Verfolgung seiner Rechte entscheiden, muss der Zweck derart formuliert sein, dass der Betroffene ihn verstehen kann. Diese Ermöglichung der Rechtewahrnehmung wird von den Informationspflichten nach Art. 12 DS-GVO flankiert.

80

C. Deliktische Haftung

(ff) Zusammenfassung der Anforderungen Zum Zeitpunkt der ersten Erhebung der personenbezogenen Daten muss vom Verantwortlichen ein Zweck formlos festgelegt werden. Nicht ausgeschlossen ist es, mehrere Zwecke zu bestimmen oder sie zu kategorisieren und zu hierarchisieren. Der festgelegte Zweck muss dabei sowohl als Grundlage für Compliance als auch für die Wahrnehmung der Betroffenenrechte dienen können. (b) A  kkumulierung der personenbezogenen Daten für ein Persönlichkeitsprofil als festgelegter Zweck Fraglich ist, ob die Akkumulierung von personenbezogenen Daten für ein Persönlichkeitsprofil als Zweck festgelegt werden kann. Hierfür müssen die Voraussetzungen der Zweckfestlegung erfüllt sein. Nach dem Vorgenannten bedeutet das zum einen, dass der Verantwortliche auf der Grundlage des festgelegten Zweckes seinen Compliance-Anforderungen, also den Voraussetzungen der DS-GVO, nachkommen können muss. Bei eingangs genannter Festlegung ist nicht erkennbar, welcher Erlaubnissatz des Art. 6 Abs. 1 DSGVO die Verarbeitung rechtfertigen könnte. Würden allerdings die Verwendungsziele des Persönlichkeitsprofils aufgeführt werden, ließe sich untersuchen, ob beispielsweise ein „berechtigtes Interesse“ (Art. 6 Abs. 1 lit. f DSGVO) vorläge. Der Verantwortliche muss auch seiner Verpflichtung zur Löschung bei Zweckerreichung (Art. 17 Abs. 1 lit. a DS-GVO) nachkommen können. Auch hier gilt, es ist nicht ersichtlich, wann die Daten gelöscht werden sollen, sofern als Zweck nur die Akkumulierung festgelegt wird. Schon bei der Akkumulierung muss daher als Zweck festgelegt sein, dass diese zur Bildung und Verwendung eines Persönlichkeitsprofils dient, mit dem etwa Werbung, Scoring oder Voter Targeting betrieben werden soll. Eine Mehrfachnennung ist dabei zulässig. Zum anderen muss der Betroffene seine Rechte wahrnehmen können. Auch dies ist ihm nicht möglich, wenn lediglich die Akkumulierung für Persönlichkeitsprofile als Zweck festgelegt werden würde. Vielmehr muss er einschätzen können, was unter Akkumulation zu verstehen ist. Daher muss der festgelegte Zweck beinhalten, dass Daten gesammelt, zusammengeführt und neu gebildet werden sollen. Weiterhin ist für ihn maßgeblich, dass ein Persönlichkeitsprofil entstehen soll. Die Auswirkungen von Persönlichkeitsprofilen auf die Rechte und Freiheiten des Betroffenen kann dieser wiederum nur dann beurteilen, wenn er weiß, wofür sie verwendet werden und ob sie weitergeschickt werden sollen. Dies muss als Zweck festgelegt sein.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO81

Nur bei Nennung von Profilbildung und der Verwendungsziele neben der Akkumulierung selbst, ist der Zweck wirksam festgelegt. (c) Bildung von Persönlichkeitsprofilen als festgelegter Zweck Zu prüfen ist, ob die Bildung von Persönlichkeitsprofilen als Zweck festgelegt werden kann. Das ist der Fall, wenn der festgelegte Zweck sowohl Compliance als auch Rechtewahrnehmung ermöglicht. Allein aus der Festlegung, dass ein Persönlichkeitsprofil gebildet werden soll, ist nicht ersichtlich, wodurch dies gerechtfertigt wäre. Es ist hieraus auch nicht ersichtlich, wann die gebildeten Daten nach Art. 17 Abs. 1 lit. a DS-GVO gelöscht werden. Im Gegenteil würde die bloße Festlegung von „Profilbildung“ bei Betroffenen die Annahme auslösen, dass eine Löschung nicht geplant ist. Schließlich erfordert ein Persönlichkeitsprofil möglichst die unbegrenzte Speicherung von Daten, da aus ihrer fortlaufenden Analyse, Verknüpfung und Generierung neue Daten entstehen. Weil für die Bildung eines Persönlichkeitsprofils auf kein Datum verzichtet werden kann, kann auch kein einzelnes Datum seinen Zweck erreichen und gelöscht werden. Daher kann der Betroffene das sich aus der Profilbildung ergebende Risiko nicht beurteilen und seine Rechte nicht wahrnehmen, wenn nur die Profilbildung als Zweck festgelegt wird. Dies ist erst möglich, wenn für das gesamte Persönlichkeitsprofil ein oder mehrere Verwendungsziele festgelegt werden. Dies befähigt auch zur Compliance auf Seiten des Verantwortlichen. Wird ein Verwendungsziel des Profils bestimmt, wird dadurch zugleich ein Zweck für die personenbezogenen Daten festgelegt, die bei der Bildung von Persönlichkeitsprofilen neu generiert werden. Dies ist notwendig, da kein Datum ohne Zweck verarbeitet werden darf. (d) Verwendung der Persönlichkeitsprofile als festgelegter Zweck Zu untersuchen ist, ob die Verwendung von Persönlichkeitsprofilen als Zweck festgelegt werden kann. Um seine Rechte wahrnehmen zu können, muss der Betroffene aus der Zweckfestlegung die Verarbeitungsarten ablesen können. Wird allein die „Verwendung“ festgelegt, weiß er nicht, ob die Profile lediglich gespeichert werden, anderen Verantwortlichen übermittelt oder zur personalisierten Werbung oder Erstellung von Finanz- oder Versicherungsscores eingesetzt werden. Dabei ist hier die Gefahr der Belastung seiner Grundrechte und -freiheiten am größten. Der Betroffene muss abschätzen können, in welchen Bereichen sein Persönlichkeitsprofil eingesetzt wird. Bezeichnungen wie „Verbesserung der Nutzererfahrung“ oder „Werbemaßnahmen“ sind nur dann ausreichend, wenn sich aus dem Zweck weiter ergibt,

82

C. Deliktische Haftung

welche Daten, jedenfalls aber welche Aspekte seines Persönlichkeitsprofils, wann für welche Maßnahmen verwendet werden sollen. Der Betroffene soll so eine Vorstellung darüber gewinnen, welche Informationen seines Persönlichkeitsprofils wofür verwendet werden. Soll sein Persönlichkeitsprofil für Scoring eingesetzt werden, muss zudem der Lebensbereich festgelegt werden, für den der Scorewert erstellt wird. Dies kann die Vergabe von Versicherungen oder Kredite umfassen. Entsprechendes gilt für das Verwendungsziel „Voter Targeting“. (2) Tatbestandsmerkmal „eindeutig“ Im Folgenden wird untersucht, wie das Tatbestandsmerkmal „eindeutig“ auszulegen ist und inwieweit Akkumulierung, Profilbildung und -verwendung mit ihm vereinbar sind. (a) Anforderungen des Eindeutigkeitsmerkmals (aa) Ansicht der Literatur In der Literatur werden verschiedene Maßstäbe an die Eindeutigkeit gelegt, die hoch oder niedrig ausfallen können. Nach dem niedrigen Maßstab soll der Zweck bereits eindeutig sein, wenn die Anwendungsmöglichkeiten der Verarbeitung des Datums lediglich erkennbar sind.145 Die Beschaffung von Daten auf Vorrat soll einen eindeutigen Zweck darstellen, wenn die Bedingungen für eine spätere Verwendung der Daten so genau wie möglich formuliert werden.146 Nach dem strengeren Maßstab sollen Zweifel am Zweck ausgeschlossen sein müssen.147 Dies wird darauf gestützt, dass der Rat der Europäischen Union eine Eingrenzung des Begriffs und damit eine geringere Hürde bewusst unterlassen habe.148 Nach dem Europäischen Datenschutzausschuss soll das Eindeutigkeitsmerkmal nur dann erfüllt sein, wenn der Zweck frei von Mehrfachdeutungen und Unklarheiten ist.149 Insbesondere die Grenzen der Verarbeitungsmöglichkeiten sollen verständlich sein müssen.150 Das Eindeutigkeitsmerkmal soll aber auch sicherstellen, dass jeder Beteiligte das145  So

zu § 28 I 2 BDSG BeckOK DatenSR BDSG (23. Ed.)/Wolff, § 28 Rn. 16. DSRL/Ehmann/Helfrich, Art. 6 Rn. 24. 147  Monreal, ZD 2016, 507, 509. 148  Monreal, ZD 2016, 507, 509. 149  WP 203, S. 17 f. 150  WP 203, S. 17. 146  Ehmann/Helfrich



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO83

selbe Verständnis des Verarbeitungszwecks hat.151 Kulturelle und sprachliche Unterschiede dürfen nicht zu Unklarheiten beim Betroffenen führen.152 In jedem Fall ist fraglich, aus welcher Sicht sich die Eindeutigkeit bestimmt. Entweder ist die subjektive Sichtweise des Betroffenen oder der objektive Standpunkt eines verständigen Dritten einzunehmen. Diese Frage berücksichtigt die Literatur kaum. Zwar wird gelegentlich auf einen objektiven Standpunkt verwiesen, dies jedoch nicht weiter begründet.153 (bb) Auslegung des Wortlauts Aus dem Wortlaut des Zweckbindungsgrundsatzes des Art. 5 Abs. 1 lit. b HS. 1 DS-GVO ergibt sich, dass die drei Tatbestandsmerkmale der Festlegung, Eindeutigkeit und Legitimität nicht nur kumulativ von dem bestimmten Zweck erfüllt werden müssen. Durch die Aufzählung der drei Merkmale wird auch erkennbar, dass ein Tatbestandsmerkmal das jeweils ihm vorausgehende Tatbestandsmerkmal bedingt: Der Zweck muss zunächst festgelegt werden, dann muss er eindeutig sein und schließlich legitim. Bei der Festlegung spielen die Eindeutigkeit und Legitimität zunächst keine Rolle. Dieses Tatbestandsmerkmal ist daher allein zu beurteilen. Ob der Zweck eindeutig ist, kann aber nur dann sinnvoll untersucht werden, wenn zuvor festgestellt wurde, dass überhaupt ein Zweck (wirksam) festgelegt wurde. Voraussetzung der Eindeutigkeit ist daher, dass ein Zweck festgelegt wurde. Daraus folgt auch, dass trotz der begrifflichen Nähe von „Festlegung“ und „Eindeutigkeit“ jeweils unterschiedliche Maßstäbe anzulegen sind. Diese ergeben sich, wenn mit den obigen Literaturmeinungen nur solche Zwecke als eindeutig angesehen werden, bei denen jedwede Zweifel ausgeschlossen sind und die unabhängig von Eigenheiten in Kultur und Sprache verständlich sind. (cc) Auslegung nach Sinn und Zweck Der Zweckbindungsgrundsatz hat eine Hinweis- und Warnfunktion.154 Der Betroffene muss über die Verarbeitungen und Gefahren aufgeklärt werden. Nur dann kann er sein Grundrecht auf informationelle Selbstbestimmung wirksam ausüben. Der Zweck muss derart bestimmt werden, dass er die Ver151  WP

203, S. 39. 203, S. 39. 153  Eine objektive Auslegung annehmen: Paal/Pauly DS-GVO/Frenzel, Art. 5 Rn. 27. 154  Härting, NJW 2015, 3284, 3286. 152  WP

84

C. Deliktische Haftung

arbeitung vollumfänglich wiedergibt. Der zu verlangende Detailgrad hängt von den Umständen der Verarbeitung ab. Je komplexer sie sind und folglich je weniger Einblick sie gewähren, desto ausführlicher muss der Zweck bestimmt werden. Weil der Zweck zugleich für den Verantwortlichen und für den Betroffenen bedeutsam ist, muss der festgelegte und eindeutige Zweck einen Mittelweg gehen und beiden Seiten gerecht werden. Deshalb kann er auch nicht rein subjektiv aus Sicht des Betroffenen bestimmt werden. Vielmehr ist seine Eindeutigkeit objektiv zu beurteilen. (dd) Systematische Auslegung Der Grad der Eindeutigkeit des Zwecks hat auf mehrere Datenschutzvorschriften Einfluss. Weil einmal festgelegte Zwecke geändert werden können, was sich nach den Kriterien des Art. 6 Abs. 4 DS-GVO bestimmt, müssen sie außerdem so formuliert sein, dass auf sie diese Kriterien angewendet werden können. Danach müssen etwa die Verbindung zwischen alten und neuen Zwecken und die Folgen der weiteren Verarbeitung festgestellt werden können. Ein Zweck kann nur dann als eindeutig betrachtet werden, wenn er Grundlage für die Beurteilung der Zulässigkeit einer Zweckänderung sein kann.155 Auf Grundlage des Zwecks muss der Betroffene seine Datenschutzrechte geltend machen können, weshalb auch mit systematischer Auslegung zu fordern ist, dass der Zweck derart eindeutig ist, dass er die Bearbeitung vollumfänglich wiedergibt. Die Erfüllung aller Informationspflichten kann damit indes nicht verlangt werden, schließlich gibt es hierfür spezielle Normen. Der Zweck muss dergestalt sein, dass sein Erreichen festgestellt werden kann, um der Löschpflicht des Art. 17 Abs. 1 lit. A DS-GVO nachkommen zu können. Dies ist nicht nur eine Frage der Festlegung, sondern auch eine der Eindeutigkeit des Zwecks. (ee) Auslegung des historischen Verordnungsgeberwillens ErwG. 42 S. 4 DS-GVO besagt, dass der Zweck Grundlage der Einwilligung ist. Daraus kann abgeleitet werden, dass der Zweck jedenfalls dann hinreichend eindeutig ist, wenn der Betroffene in ihn wirksam einwilligen könnte. Bei der Zweckfestlegung wären damit die Anforderungen an eine wirksame Einwilligung zu berücksichtigen, die Art. 4 Nr. 11 und Art. 7 DSGVO aufstellen. Diese können aber nur Indizwirkung haben. Die Bestim155  Richter,

DuD 2015, 735, 739.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO85

mung des Zwecks dient nämlich nicht allein als Grundlage für eine Einwil­ ligung des Betroffenen, die Verarbeitung kann vielmehr auch auf die gesetzlichen Erlaubnistatbestände des Art. 6 Abs. 1 lit. b–f DS-GVO gestützt ­werden. Für eine Subsumtion unter diesen Erlaubnisnormen ist die Zweckbestimmung ebenfalls wesentlich und kann sich nicht allein nach der Erlaubnisnorm der Einwilligung richten. Die Frage nach dem Maßstab für die Beurteilung der Eindeutigkeit des Zwecks beantwortet der historische Verordnungsgeber zugunsten des Betroffenen. Schließlich verlangen die ErwG. 58 S. 1; 60 S. 1; 63 S. 3 DS-GVO, dass der Betroffene erkennen können muss, welchem Zweck die Verarbeitung dient.156 Dies muss aber nicht zum Schluss führen, dass eine subjektive Auslegung gefordert ist. Schließlich wäre das Verständnis des Betroffenen auch dann berücksichtigt, wenn die Eindeutigkeit objektiv nach Maßgabe eines durchschnittlich verständigen Betroffenen beurteilt wird. Dies ist hier geboten. (ff) Zusammenfassung der Anforderungen Ein Zweck ist eindeutig festgelegt, wenn er die Anwendungsmöglichkeiten einer Datenverarbeitung erkennen lässt. Dazu muss er von Unklarheiten und Mehrfachdeutungen frei sein und darf nicht von sozialen, kulturellen oder sprachlichen Unterschieden abhängen. Er muss eine prägnante Grundlage für die Beurteilung der Zweckänderung darstellen, wobei er sich etwa auf die gesetzlichen Anforderungen an die Einwilligung und berechtigte Interessen an der Verarbeitung gemäß Art. 6 Abs. 1 lit. a und f DS-GVO beziehen kann. Weiterhin muss der Zweck so eindeutig sein, dass seine Zweckerreichung erkannt und eine Zweckänderung beurteilt werden kann. Gleichzeitig muss der Zweck über Gefahren für den Betroffenen aufklären, ohne dafür alle ­Informationspflichten wiederholen zu müssen. Auch der Verarbeitungskontext hat Einfluss auf den Grad der Genauigkeit. Schließlich können nur solche Zwecke eindeutig sein, die den Anforderungen genügen, die das Fest­ legungs-Tatbestandsmerkmal erfüllen. Das Vorliegen der vorgenannten Anforderungen ist objektiv aus der Sicht eines durchschnittlich verständigen Betroffenen zu bewerten.

156  Ebenso:

WP 203, S. 17 f.

86

C. Deliktische Haftung

(b) A  kkumulierung der personenbezogenen Daten für ein Persönlichkeitsprofil als eindeutiger Zweck Zu prüfen ist hier, ob der Verarbeitungskomplex der Akkumulierung personenbezogener Daten für ein Persönlichkeitsprofil als festgelegter Zweck dem Tatbestandsmerkmal der Eindeutigkeit nach Art. 5 Abs. 1 lit. b DS-GVO genügen kann beziehungsweise, wie ein eindeutiger Zweck diesbezüglich aussehen müsste. Kulturell und sprachlich bedingte unterschiedliche Interpretationen des Wortes „Akkumulierung“ sind ob seines lateinischen Ursprungs nicht zu befürchten. Es ermöglicht, die Sammlung personenbezogener Daten aus vielen verschiedenen Quellen weitgehend frei von Unklarheiten oder Mehrfachdeutungen zu beschreiben. Weil der Begriff bislang kaum auf Datenverarbeitungen verwandt wurde, ist er unverbraucht und kann verdeutlichen, dass keine Datensammlung herkömmlichen Umfangs gegenständlich ist. Um eindeutig zu sein, muss der Zweck den Betroffenen über Gefahren für seine Rechte und Freiheiten prägnant aufklären. Daher ist nicht nur zu beschreiben, dass das gegenständliche Datum mit personenbezogenen Daten aus anderen, möglichst vielfältigen Quellen zusammengeführt werden soll. Die Darstellung der möglichen Risiken für den Betroffenen erfordert insbesondere zu beschreiben, dass auf die Akkumulierung die tiefe Auswertung von Lebensbereichen folgt. Diese Risiken können sich zwar erst durch die Auswertung der Daten und der Verwendung der Auswertungsergebnisse realisieren, sie sind aber schon in der Akkumulierung angelegt. Daher müssen sie bereits hier beschrieben werden. Das bedeutet, dass Bildung und Verwendung des Persönlichkeitsprofils bereits bei Datenverarbeitungen als Zweck aufzunehmen sind, die (nur) eine Akkumulierung darstellen. Bildung und Verwendung von Persönlichkeitsprofilen lassen sich in der Regel auch nicht dem Kontext der Akkumulierung entnehmen. Ein Nutzer von Diensten wie Google oder Amazon wird vielleicht noch davon ausgehen, dass ein Persönlichkeitsprofil von ihm erstellt wird. Er wird sich aber nicht selbst erklären können, ob die Daten lediglich gespeichert, für die Verbesserung des eigenen Dienstes oder für die Offenlegung gegenüber Dritten für weitere Ziele verwendet werden sollen. Je weniger naheliegend die Akkumulierung von Daten für die Profilerstellung ist, desto deutlicher muss hierauf hingewiesen werden. Werden Bildung und Verwendung von Persönlichkeitsprofilen bereits bei der Akkumulierung in den Zweck aufgenommen, wird die Grundlage für die Beurteilung einer Zweckänderung im Sinne des Art. 6 Abs. 4 DS-GVO geschaffen. Die Aufnahme offenbart nämlich die Verbindung zwischen Zwecken der Erhebung und einer beabsichtigten Weiterverarbeitung sowie die Folgen der Weiterverarbeitung für die betroffene Person. Weiterhin wird er-



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO87

möglicht, die Löschpflicht des Art. 17 Abs. 1 lit. a DS-GVO einzuhalten, da mit der Verwendung des Profils der Zweck der akkumulierten Daten erreicht wird. Bildung und Verwendung der Profile müssen auch dann genannt werden, wenn der für die Akkumulierung Verantwortliche nicht selbst die Profile bildet und verwendet, sondern die akkumulierten Daten an Dritte weitergegeben werden sollen.157 Die Risiken, die sich aus diesen Verarbeitungsschritten ergeben, werden durch die Weitergabe an Dritte schließlich nicht geringer als bei einer Verwendung durch den Akkumulierenden selbst. Eine Weitergabe ist in die Zweckbeschreibung aufzunehmen. Formulierungen wie „Verbesserung der Nutzererfahrung“ oder „Werbemaßnahmen“ alleine lassen nicht erkennen, welche Daten wann und wie verwendet werden sollen. Insbesondere ermöglichen sie nicht, die Zweckerreichung und die daraus resultierende Löschpflicht zu bestimmen. (c) Bildung von Persönlichkeitsprofilen als eindeutiger Zweck Fraglich ist, welcher Zweck die Bildung von Persönlichkeitsprofilen eindeutig erfassen kann. Wesentliches Element der Bildung von Persönlichkeitsprofilen ist, dass auf Grundlage der Akkumulation personenbezogene Daten neu zugeordnet und neu gebildet werden. Nur wenn dies ausdrücklich genannt wird, werden Unklarheiten und Mehrfachdeutungen vermieden. Darüber hinaus ist auch hier entscheidend, dass die beabsichtigte Verwendung des Persönlichkeitsprofils genannt wird. Mit ihr können sich nicht nur wesent­ liche Risiken realisieren, die dem Betroffenen bekannt sein müssen, damit er seine Rechte wahrnehmen kann. Es lassen sich auch Zweckerreichung und -änderung beurteilen. Da die Profilbildung stattfindet, ohne dass dies für den Betroffenen erkennbar ist und er dem Kontext nichts entnehmen kann, muss über sie umfassend im Zweck informiert werden. Dass die Daten vorher akkumuliert worden sind, ist hier hingegen nicht relevant. (d) Verwendung von Persönlichkeitsprofilen als eindeutiger Zweck Die Verwendung von Persönlichkeitsprofilen muss als Datenverarbeitung einen eindeutigen Zweck verfolgen. Es sind verschiedene Verwendungsszenarien von Persönlichkeitsprofilen denkbar, wie etwa personalisierte Werbung, Produktzuschneidung auf den Betroffenen oder Scoring zu Finanzoder Versicherungszwecken. Würde allein „persönliche Werbung“ als Zweck angegeben, bliebe die Bezugnahme auf Persönlichkeitsprofile unerkannt. 157  Vgl.

Ehmann/Selmayr DS-GVO/Heberlein, Art. 6 Rn. 27.

88

C. Deliktische Haftung

Hier sind die Anforderungen zu berücksichtigen, die bereits das FestlegungsTatbestandsmerkmal aufstellt.158 Danach ist es für den Betroffenen wichtig zu erfahren, dass ein Persönlichkeitsprofil eingesetzt wird und welche ­Aspekte des Profils beziehungsweise seiner Persönlichkeit wofür verwendet werden. Eine entsprechende Bezeichnung der Verwendungsziele ermöglicht nicht nur die Abschätzung der Risiken für den Betroffenen, sondern auch die Beurteilung von Zweckänderung und -erreichung. Sie würden einen eindeutigen Zweck darstellen. Dies gilt auch für die Ziele des Scoring, sofern sie sich auf Finanz- oder Versicherungsprodukte beziehen, sowie für das Ziel des Voter Targetings. Sollen die Persönlichkeitsprofile nur dazu dienen, an andere Stellen weitergeleitet zu werden, muss nicht nur die Tatsache der Weiterleitung genannt werden, sondern auch die Kategorien potentieller Empfänger, sowie die dort intendierten Anwendungsgebiete. Die Weiterleitung stellt ein weiteres Risiko für den Betroffenen dar, welches ihm bekannt gemacht werden muss. Dass die intendierten Anwendungsgebiete erläutert werden müssen, wurde bereits erläutert. Die Eindeutigkeit des Verwendungszwecks ist nicht davon abhängig, dass Akkumulierung und Bildung des Persönlichkeitsprofils aufgenommen werden. (3) Tatbestandsmerkmal „legitim“ Im Folgenden wird sich dem Tatbestandsmerkmal eines „legitimen“ Zwecks gewidmet. Dieses wird ausgelegt und auf die bereits beschriebenen Verarbeitungskomplexe bezogen. (a) Anforderungen des Legitimitätsmerkmals (aa) Ansichten der Literatur In der Literatur wird das ausfüllungsbedürftige Legitimitätsmerkmal vielfach untersucht und nach Anknüpfungspunkten gesucht. Insbesondere sollen Zwecke „legitim“ sein, die „rechtmäßig“ im Sinne des Art. 6 Abs. 1 DSGVO sind.159 Das wären etwa die Verarbeitung für die Durchführung oder die Vorbereitung eines Vertrages oder ein berechtigtes Interesse an der Verarbeitung. Stets relevant sollen die Umstände und Tatsachen des konkreten 158  Siehe

oben Abschnitt C.I.1.c)dd)(1)(d). 203, S. 19 f.; Paal/Pauly DS-GVO/Frenzel, Art. 5 Rn. 28; Richter, DuD 2015, 735, 736. 159  WP



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO89

Verarbeitungsfalles bleiben.160 Da aber Ziel des „legitimen“ Zwecks sein soll, eine Wertungsmöglichkeit jenseits der Rechtmäßigkeit zu eröffnen,161 sei darüber hinaus die gesamte Rechtsordnung für die Beurteilung der Zwecklegitimität zu berücksichtigen.162 Maßgeblich seien damit etwa das Verbraucherrecht, das Arbeitsrecht und das Vertragsrecht.163 Die EUGRCharta soll auch herangezogen werden können,164 die in ihren Kapiteln I bis V Rechte, Freiheiten und Gleichheits- und Solidaritätssätze beschreibt. Es sollen alle Prinzipien zu berücksichtigen sein, die ihr zugrunde liegen, wie beispielsweise die unterschiedliche und damit diskriminierende Behandlung von Betroffenen aufgrund ihrer Ethnizität.165 (bb) Autonome Auslegung von „legitim“? Den dargestellten Literaturansichten ist gemein, dass sie das Legitimitätsmerkmal europarechtlich autonom auslegen. Diese Vorbedingung ist allerdings nicht zwingend. Bei Normen des Europarechts ist eine autonome Auslegung zwar grundsätzlich anzunehmen. Der Zweck einer Norm kann aber ausnahmsweise auch eine Auslegung auf der Grundlage des unvereinheitlichten nationalen Rechts der Mitgliedstaaten verlangen.166 Das ist etwa der Fall, wenn eine vollständige Harmonisierung nicht Ziel der europarechtlichen Regelung ist.167 Legitimität ist ein weiter Begriff, der dazu dienen könnte, mitgliedstaatliche Wertungen aufzunehmen, die außerhalb der DSGVO liegen. Diese beschäftigt sich im Kern nämlich nicht mit der Legitimität von Verarbeitungen personenbezogener Daten, sondern mit ihrer Rechtmäßigkeit. Diese wird vom zentralen Rechtmäßigkeitsgrundsatz des Art. 5 Abs. 1 lit. a Var. 1 DS-GVO und den Rechtmäßigkeitsvoraussetzungen des Art. 6 Abs. 1 DS-GVO definiert. An keiner Stelle erläuterte sie, wann ein Verarbeitungszweck „legitim“ sei. Folglich muss hierfür ein anderer Maßstab herangezogen werden. Ein solcher könnte einerseits das europäische Primärund gegebenenfalls auch das Sekundärrecht meinen, andernfalls mitgliedstaatliches Recht umfassen. Wenn allerdings eine autonome Auslegung nicht geboten wäre, könnte jeder Mitgliedstaat selbst bestimmen, für welche Zwecke personenbezogene 160  WP

203, S. 20. 203, S. 12, 19; Monreal, ZD 2016, 507, 509. 162  WP 203, S. 20; Monreal, ZD 2016, 507, 509. 163  WP 203, S. 20; Vgl. Moos/Rothkegel, ZD 2016, 561, 561 f. 164  Kugelmann, DuD 2016, 566, 567. 165  WP 203, S. 54 f. 166  Siehe oben Abschnitt C.I.1.c)bb)(1)(a)(aa). 167  Europäische Methodenlehre/Riesenhuber, § 10 Rn. 7.

161  WP

90

C. Deliktische Haftung

Daten verarbeitet werden dürften. Damit hätte er Gestaltungsmöglichkeiten, die weit über die in der DS-GVO enthaltenen Öffnungsklauseln, etwa Art. 23 DS-GVO, hinausgingen. Dass Öffnungsklauseln aufgenommen wurden, bedeutet aber im Umkehrschluss, dass die Mitgliedstaaten grundsätzlich keinen Spielraum für Vorgaben für Datenverarbeitungen haben. Vielmehr werden die Voraussetzungen grundsätzlich abschließend von der DS-GVO aufgestellt.168 Hinzu kommt, dass gerade die Harmonisierung vom Verordnungs­ geber gewollt ist (ErwG. 2 S. 2; 10, S. 1 f. DS-GVO).169 Danach soll die Verordnung unter anderem zur Vollendung eines Raums der Freiheit und dem Zusammenwachsen der Volkswirtschaften beitragen. Insofern sind keine Gründe zu erkennen, warum hier eine mitgliedstaatliche Auslegung ausnahmsweise geboten sein sollte. Der Begriff „legitim“ ist daher autonom auszulegen. (cc) Wortlautauslegung Im Wortlaut bedeutet Legitimität Zulässigkeit. Was zulässig ist, kann die gesamte Rechtsordnung, ein Rechtsgebiet oder eine einzelne Rechtsnorm bestimmen. Damit kommen zwar die Anforderungen an die Rechtmäßigkeit der Datenverarbeitung in Betracht. Die Verordnung verwendet die Begriffe „Legitimität“ und „Rechtmäßigkeit“ aber durchgängig parallel und füllt letzteren mit Art. 6 Abs. 1 DS-GVO aus. Auch die englische, französische und spanische Fassung unterscheidet zwischen der Rechtmäßigkeit des Art. 6 DSGVO („lawfulness“, „licéité“ und „licitud“) und der Legitimität des Art. Art. 5 Abs. 1 lit. b HS. 1 DS-GVO („legitimate“, „légitimes“ und „legítimos“). Das Legitimitäts-Tatbestandsmerkmal des Zweckbindungsgrundsatzes ist daher mit Art. 6 Abs. 1 DS-GVO nicht inhaltsgleich. Folglich sind Fälle denkbar, die rechtmäßig sind, ohne legitim zu sein und andersherum. Nach welchen Kriterien diese Fälle zu bestimmen sind, lässt sich dem Wortlaut allerdings nicht entnehmen. Der norminterne Wortlaut zählt die drei Tatbestandsmerkmale der Festlegung, der Eindeutigkeit und der Legitimität auf, woraus sich ergibt, dass die Tatbestandsmerkmale der Festlegung und der Eindeutigkeit bereits erfüllt sein müssen, damit ein Zweck auch legitim sein kann. Erst wenn ein Zweck festgelegt und eindeutig ist, kann die Frage nach seiner Legitimität beantwortet werden. Wurde kein Zweck festgelegt, verbietet bereits die Begriffslogik eine Untersuchung seiner Legitimität. Ein festgelegter Zweck, der nicht eindeutig ist, kann auch nicht legitim sein. 168  Vgl.

Moos/Rothkegel, ZD 2016, 561, 567 f. DuD 2017, 180, 184.

169  Eschholz,



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO91

(dd) Auslegung nach Sinn und Zweck Die DS-GVO dient dem Schutz der Privatsphäre natürlicher Personen. Dies ergibt sich bereits aus Art. 1 Abs. 1, 2 DS-GVO, nach der sie „bei der Verarbeitung personenbezogener Daten“ die „Grundrechte und Grundfreiheiten natürlicher Personen“ schützt. Dasselbe Ziel verfolgen auch Art. 16 Abs. 1 EUV und Art. 8 Abs. 1 EUGRCharta, die der Verordnung zugrunde liegen und das „Recht auf Schutz der sie betreffenden Daten“ festhalten. Zur Umsetzung dieser Ziele bietet sich der Legitimitäts-Begriff des Art. 5 Abs. 1 lit. b HS. 1 DS-GVO an, weil er offen und ausfüllungsbedürftig ist. Danach sind solche Zwecke nicht legitim, die die Grundrechte und -freiheiten der Betroffenen verletzen. Dem Legitimitätsmerkmal kommt dadurch eine ­Auffangfunktion zu, die Verarbeitungen abdeckt, die mit den Grundrechten und -freiheiten des Betroffenen nicht vereinbar sind, die aber nicht gegen andere Normen der DS-GVO verstoßen. (ee) Systematische Auslegung Im Rahmen des ausfüllungsbedürftigen Merkmals der Zwecklegitimität sind die Wertungen der Verordnung selbst zu berücksichtigen. Das sind zunächst die Erlaubnissätze des Art. 6 Abs. 1 DS-GVO.170 Sie billigen etwa die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrages (6 Abs. 1 lit. b DS-GVO) oder einer rechtlichen Pflicht (6 Abs. 1 lit. c DSGVO) zum Schutz lebenswichtiger Interessen (6 Abs. 1 lit. d DS-GVO) oder grundsätzlich zur Wahrung berechtigter Interessen (6 Abs. 1 lit. f DS-GVO). Liegt jedenfalls einer dieser Erlaubnissätze des Art. 6 Abs. 1 DS-GVO vor, spricht das dafür, dass auch das Merkmal der Legitimität erfüllt ist. Die Verordnung fällt aber auch an anderer Stelle Urteile. Art. 22 Abs. 1 DS-GVO bestimmt, dass eine Einzelentscheidung, die den Betroffenen erheblich beeinträchtigt, ausschließlich auf Profiling (Art. 4 Nr. 4 DS-GVO) beruht und automatisiert getroffen wird, unzulässig ist. Das Treffen einer solchen Einzelentscheidung kann daher kein legitimer Zweck sein. Umgekehrt gilt, dass automatisierte Einzelentscheidungen dann zulässig sind, wenn sie den Anforderungen des Art. 22 Abs. 1 DS-GVO genügen. Das tun sie, wenn sie entweder nicht automatisiert getroffen werden oder den Betroffen nicht erheblich beeinträchtigen. Dann können sie auch einen legitimen Zweck darstellen.

170  WP 203, S. 19 f.; Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil 2 Rn. 5; Paal/Pauly DS-GVO/Frenzel, Art. 5 Rn. 28; Richter, DuD 2015, 735, 736.

92

C. Deliktische Haftung

Ein weiterer, grundsätzlich legitimer Verarbeitungszweck ist die Direktwerbung. Das ergibt sich aus einem Umkehrschluss zu Art. 21 Abs. 2, 3 DSGVO, der die Verarbeitung für Direktwerbung für zulässig erachtet, bis der Betroffene widersprochen hat. Dies soll auch bei zulässigem Profiling gelten. Wäre Direktwerbung allgemein unzulässig, wäre ein dahingehendes Widerspruchsrecht unnötig. Zu den Werten, die der Zweckbindungsgrundsatz schützen möchte, zählen auch solche der sonstigen EU-Rechtsordnung. Von größerer Bedeutung sind insbesondere das Verbraucher-, das Arbeits- oder das Vertragsrecht.171 ­Hieraus kann sich negativ ergeben, dass ein bestimmter Verarbeitungszweck missbilligt wird und deswegen auch als Verarbeitungszweck unzulässig ist. Im Zusammenspiel mit den Wertungsentscheidungen der Verordnung ist es möglich, dass die positiven Erlaubnistatbestände mit den negativen Vorgaben aus anderen Rechtsgebieten kollidieren. In einem solchen Fall ist zu erörtern, welche Wertung die Rechtsordnung als Ganzes trifft.172 Als Kriterien hierfür bieten sich die Gewichtung des jeweiligen Grundsatzes in der Rechtsordnung, die Umstände der Verarbeitung und die Stellung von Verantwortlichem und Betroffenem an. Ist der Verantwortliche auf die Verarbeitung nicht unbedingt angewiesen, greift diese aber besonders tief in die Privatsphäre von schutzwürdigen Betroffenen ein, spricht auch dies gegen die Legitimität der Verarbeitung. Schutzwürdig sind solche natürlichen Personen, denen es im besonderen Maße schwerfällt, sich zu behaupten. Das sind etwa Minderjährige, alte oder beeinträchtigte Menschen. Schutzbedürftigkeit kann sich zwar auch aus einer speziellen Situation heraus ergeben, wie etwa bei Überrum­ pelungen oder Zwangslagen. Die Abwägung widerstreitender Prinzipien ist aber generalisiert-abstrakt vorzunehmen. Für die Berücksichtigung der individuell-konkreten Sachlage stehen nämlich die Betroffenenrechte der Art. 12 ff. DS-GVO oder auch die Rechtsbehelfe der Art. 77 ff. DS-GVO vorrangig zur Verfügung. (ff) Historische Auslegung Vorläufer der DS-GVO war die DSRL (Datenschutzrichtlinie, 95/46/EG). Der Zweckbindungsgrundsatz verlangte in Art. 6 Abs. 1 S. 1 DSRL, dass Zwecke festgelegt, eindeutig und rechtmäßig sein müssen. Es wurde also der Begriff der Rechtmäßigkeit verwendet. Ziel war es, formell rechtswidriges Verhalten öffentlicher Verarbeitungsstellen bereits auf der Ebene der Datenschutz-Grundsätze als unzulässig zu bewerten.173 Von diesem Rechtmäßig171  Siehe

oben Abschnitt C.I.1.c)dd)(3)(a)(aa). 203, S. 19 f. 173  Monreal, ZD 2016, 507, 509. 172  WP



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO93

keits-Kriterium hat sich die DS-GVO verabschiedet.174 Aus der Ersetzung von „rechtmäßig“ durch „legitim“ kann abgelesen werden, dass es nicht mehr auf das formell oder auch materiell rechtswidrige Verhalten des Verantwortlichen ankommen soll, sondern dass vielmehr ein anderer Maßstab an­ zulegen ist. Dieser kann nur ein allgemeiner sein und sich auf Werte der Verordnung sowie der übrigen Rechtsordnung beziehen. (gg) Zusammenfassung der Auslegungsergebnisse Voraussetzung ist stets, dass die Zwecke festgelegt und eindeutig sind. Im Übrigen ist Legitimität zwar nicht mit Rechtmäßigkeit gleichzusetzen. Dennoch ist ein Zweck grundsätzlich dann legitim im Sinne des Art. 5 Abs. 1 lit. b HS. 1 DS-GVO, wenn er einem Erlaubnistatbestand des Art. 6 Abs. 1 DS-GVO entspricht. Zwecke sind einerseits nicht legitim, wenn sie der Verordnung widersprechen. Automatisierte Einzelentscheidungen können nur dann einen legitimen Zweck darstellen, wenn sie nicht 22 Abs. 1, 2 DS-GVO zuwiderlaufen. Direktwerbung ist ein legitimer Zweck. Andererseits bestimmt sich die Legitimität nach übrigem EU-Recht. Wichtig sind insbesondere Prinzipien des Primärrechts, wie etwa das Diskriminierungsverbot sowie Normen des Sekundärrechts, hier insbesondere das Arbeits- oder Verbraucherrecht. Diese sind gegebenenfalls mit den Wertungen der DS-GVO abstrakt abzuwägen. Nicht beachtet werden darf mitgliedstaatliches Recht. Zusammenfassend kann daher von einem legitimen Zweck im Sinne des Art. 5 Abs. 1 lit. b DS-GVO ausgegangen werden, wenn der Zweck festgelegt und eindeutig ist, ein Erlaubnistatbestand für den jeweiligen Zweck einschlägig ist, keine unzulässige automatisierte Einzelentscheidung vorliegt und er mit dem übrigen EU-Recht vereinbar ist. (b) A  kkumulierung der personenbezogenen Daten für ein Persönlichkeitsprofil als legitimer Zweck Zu fragen ist, ob die Akkumulierung personenbezogener Daten für ein Persönlichkeitsprofil als Zweck legitim sein kann. Da die Akkumulierung unter den oben genannten Voraussetzungen als Zweck festgelegt und eindeutig sein kann, ist zunächst die Rechtmäßigkeit der Akkumulierung zu betrachten. Diese kann nach Art. 6 Abs. 1 DS-GVO rechtmäßig sein, da in die Akkumulierung bei Vorliegen der Voraussetzungen wirksam eingewilligt werden kann.175 Des Weiteren könnte ein Verstoß gegen Art. 22 Abs. 1, 2 DS-GVO vorliegen, wenn die Akkumulierung eine automatisierte Einzelent174  Paal/Pauly 175  Siehe

DS-GVO/Frenzel, Art. 5 Rn. 28. unten Abschnitt C.I.1.e)aa)(3).

94

C. Deliktische Haftung

scheidung darstellen würde. Weil mit der bloßen Sammlung von Daten aber keine Entscheidung getroffen wird, stellt die Akkumulierung keine automatisierte Verarbeitung im Sinne des Art. 22 Abs. 1, 2 DS-GVO dar.176 Auch ein Verstoß gegen sonstiges EU-Recht kommt nicht in Betracht. Die Akkumulierung personenbezogener Daten für ein Persönlichkeitsprofil kann damit ein legitimer Zweck sein. (c) Bildung von Persönlichkeitsprofilen als legitimer Zweck Auf die Akkumulierung folgt die Bildung von Persönlichkeitsprofilen. Als Zweck kann sie bei Beachtung der oben genannten Anforderungen festgelegt und eindeutig sein. Für die Beurteilung der Legitimität der Profilbildung als Zweck ist zunächst auf die Rechtmäßigkeit der Datenverarbeitungen nach Art. 6 Abs. 1 DS-GVO einzugehen. Weil die Bildung von Persönlichkeitsprofilen durch eine Einwilligung gerechtfertigt werden kann, ist die Profilbildung grundsätzlich ein legitimer Zweck. Art. 22 Abs. 1, 2 DS-GVO erklärt lediglich die Automatisierung von Einzelentscheidungen, die auf Profiling im Sinne des Art. 4 Nr. 4 DS-GVO beruhen kann, für unzulässig. Die Profilbildung ist hiervon allerdings nicht erfasst, weil sie keine Entscheidung darstellt.177 Schließlich ist auf die Vereinbarkeit mit übrigem EU-Recht einzugehen. Es gibt Normen im Primärrecht, die für die Profilbildung herangezogen werden können. Eine solche ist etwa die Berufsfreiheit nach Art. 15 Abs. 1 EUGR­ Charta, welche auch die Berufsausübungsfreiheit beinhaltet.178 Bilden Unternehmen Persönlichkeitsprofile, kann dies als Berufsausübung geschützt sein. Das könnte insbesondere in solchen Fällen gelten, in denen die Profilbildung Kern der unternehmerischen Tätigkeit ist. Dies dürfte allerdings r­egelmäßig mit der von der EUGRCharta geschützten Rechtsposition der Privatsphäre (Art. 8 Abs. 1) kollidieren. Zur Auflösung einer solchen Kollision wären die Intensitäten der Eingriffe in die Positionen zu gewichten und zu vergleichen.179 Würde einem Unternehmen untersagt werden, Persönlichkeitsprofile zu erstellen, könnte dies zu einer Schmälerung seiner Gewinne führen oder sogar sein Fortbestehen infrage stellen. Es dürfte weder die durch diese Datenanalyse gewonnenen Erkenntnisse selbst verwenden noch sie weiter übermitteln. Umgekehrt würde die Erstellung eines Persönlichkeitsprofils für den Betroffenen bedeuten, dass sein Innerstes vollumfassend digital abgebildet würde. Dadurch würde er verwundbar und kommerziell ausgebeutet. Seine 176  Siehe

unten Abschnitt C.I.1.d)aa)(3)(a). unten Abschnitt C.I.1.d)aa)(3)(b). 178  Streinz EUGRCharta/Streinz, Art. 15 Rn. 8. 179  Vgl. Abwägungsentscheidungen/Riehm, S. 10. 177  Siehe



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO95

gesamte natürliche Existenz wäre betroffen, während das Unternehmen lediglich wirtschaftlich bedroht wäre. Danach stünden sich ein eindimensio­ naler Eingriff in die wirtschaftliche Tätigkeit eines Unternehmens und ein multidimensionaler Eingriff in das Leben einer natürlichen Person gegenüber. Bei einem Vergleich dieser Eingriffe wäre die unternehmerische Position geringer zu gewichten. Verglichen wären damit aber lediglich die Extreme der vollständigen Persönlichkeitsausleuchtung und der vollständigen Unternehmensvernichtung. Die materielle Rechtslage nach der DS-GVO ist hingegen differenzierter und führt zu einem Ausgleich zwischen Privatheit und Datenverarbeitung. Dies kündigt bereits Art. 1 Abs. 1 DS-GVO an, nachdem die Verordnung „Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten“ enthält. Demnach ist die Bildung eines Persönlichkeitsprofils grundsätzlich zulässig, wenn der Betroffene wirksam eingewilligt hat und insbesondere umfangreiche Transparenzpflichten eingehalten werden. Dieser Mittelweg kann zur Grundlage der Abwägung der von Art. 15 Abs. 1 und Art. 8 Abs. 1 EUGRCharta geschützten Güter gemacht werden. Der Betroffene läuft nicht mehr Gefahr, dass gegen seinen Willen sein Innerstes ausgeleuchtet und ausgebeutet wird, sondern dass Daten über ihn nur soweit verarbeitet werden, wie er aufgeklärt wurde und eingewilligt hat. Dies kann nicht höher bewertet werden als die unternehmerische Berufsfreiheit. Verläuft die Profilbildung in diesen Grenzen, ist sie mit der EUGRCharta als legitim zu bewerten. Das andere Primärrechtsnormen zu einem anderen Ergebnis gelangen, ist nicht ersichtlich. Die Bildung von Persönlichkeitsprofilen ist insoweit ein zulässiger Zweck. Zusammenfassend kann daher die Bildung eines Persönlichkeitsprofils dann ein legitimer Zweck sein, wenn er die Einhaltung sämtlicher Normen der DS-GVO voraussetzt. Dies sind zum einen die Einhaltung der organisatorischen Anforderungen, zum anderen, dass der festgelegte Zweck auch eindeutig ist. (d) Verwendung von Persönlichkeitsprofilen als legitimer Zweck Zu klären ist, ob und wie die Verwendung von Persönlichkeitsprofilen als Zweck legitim sein kann. Einschränkend gilt auch hier, dass die Zwecke bereits den Anforderungen der Festlegung und der Eindeutigkeit genügen müssen, um legitim zu sein. Die Erlaubnistatbestände des Art. 6 Abs. 1 DS-GVO können die Verwendung von Persönlichkeitsprofilen rechtfertigen. In diese kann nämlich, wie bei der Akkumulierung und Profilbildung, eingewilligt werden.180 Zudem könnte es vertrebar sein, dass die Profilverwendung auch 180  Siehe

unten Abschnitt C.I.1.e)aa).

96

C. Deliktische Haftung

der Verfolgung eines berechtigten Interesses dienen kann.181 In Betracht kommt hier insbesondere Scoring, weil durch die Verwendung von Persönlichkeitsprofilen Verträge abgeschlossen werden können, die der tatsächlichen finanziellen Leistungskraft des Betroffenen angemessenen sind. Dies vermeidet nicht nur Ausfallrisiken bei der Bank oder dem Versicherer, sondern es schützt auch den Betroffenen vor zu hohen Leistungsverpflichtungen.182 Als Zweck kann nicht legitimerweise festgelegt werden, dass Einzelfallentscheidungen automatisiert getroffen werden sollen, die den Betroffenen erheblich beeinträchtigen. Dies wäre mit Art. 22 Abs. 1 DS-GVO nicht vereinbar. Vereinbar ist allerdings die Verwendung für Einzelfallentscheidungen, die nicht automatisiert getroffen werden, weil etwa eine natürliche Person in den Entscheidungsprozess eingebunden ist.183 Vereinbar ist auch, die Verwendung für Entscheidungen festzulegen, die den Betroffenen nicht erheblich beeinträchtigen.184 Weitere Bewertungskriterien der DS-GVO oder des sonstigen Unionsrechts, die auf die Verwendung von Persönlichkeitsprofilen angewendet werden können, sind nicht ersichtlich. (4) Zwischenergebnis Tatbestandsmerkmale Zweckbindung Pauschale Zwecke wie „Persönlichkeitsprofil“, „Werbung“ oder „Nutzererfahrungsverbesserung“ sind nicht hinreichend präzise und können damit weder als festgelegt noch als eindeutig oder legitim betrachtet werden. Es ist vielmehr nötig, die einzelnen Verarbeitungsschritte der Akkumulierung der personenbezogenen Daten der Bildung und der Verwendung der Persönlichkeitsprofile jeweils als entsprechenden Zweck festzulegen und zu erläutern. Die Beschreibung des Zwecks der Akkumulierung sowie der Profilbildung muss beinhalten, dass Daten aus verschiedenen Quellen gesammelt, zusammengeführt und dass neue Daten generiert werden. Zudem muss der Zweck beinhalten, dass ein Persönlichkeitsprofil erstellt und wie es verwendet werden soll. Wird das Persönlichkeitsprofil verwendet, muss im Zweck festgelegt werden, welche Daten oder Aspekte des Persönlichkeitsprofils wofür eingesetzt werden sollen. Hierbei können Bezeichnungen wie „Produktzuschneidungen“, „Scoreing“ oder „Voter Targeting“ genannt werden, diese müssen aber 181  Siehe

unten Abschnitt C.I.1.e)cc)(5). RDV 2017, 3, 5. 183  Siehe unten Abschnitt C.I.1.d)aa)(3)(c). 184  Siehe unten Abschnitt C.I.1.d)aa)(3)(c). 182  Taeger,



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO97

konkretisiert werden. Selbst wenn das Persönlichkeitsprofil lediglich weitergeleitet werden soll, müssen diese Tatsache sowie kategorisch die Empfänger und die intendierten Verwendungsgebiete aufgeführt werden. Im Unterschied zu den Verarbeitungskomplexen der Akkumulierung und der Profilbildung ist hier die Verwendung konkreter zu beschreiben. Wirksam festgelegte und ausreichend eindeutige Zwecke sind grundsätzlich legitim, wenn die Verarbeitung mit einem der Erlaubnistatbestände des Art. 6 Abs. 1 DS-GVO gerechtfertigt werden kann. Dies ist bei allen Verarbeitungskomplexen möglich. Sie sind es ausnahmsweise nicht, wenn sie unter Verletzung von Art. 22 Abs. 1 DS-GVO der automatisierten Einzelfallentscheidung dienen sollen oder mit sonstigem primären oder sekundären EURecht nicht vereinbar sind. Dann ist die Verarbeitung zu einem entsprechenden Zweck nicht legitim. (5) Zweckbindung und Weiterverarbeitung (a) Konzept der Weiterverarbeitung Vorangegangen wurde untersucht, welche Verarbeitungszwecke festgelegt, eindeutig und legitim sind. Im Folgenden ist Gegenstand, welche Verarbeitungen zu diesen Zwecken erfolgen dürfen. Dies fällt auch unter das Stichwort „Weiterverarbeitung“. Die DS-GVO kennt hierzu zwei Normen: Art. 5 Abs. 1 lit. b HS. 1 und Art. 6 Abs. 4 DS-GVO. Art. 5 Abs. 1 lit. b HS. 1 DSGVO lautet: „Personenbezogene Daten müssen […] für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; […]“. Art. 6 Abs. 4 DS-GVO bestimmt: „Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden […] so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem […]“. Beide Normen haben zwar denselben Gegenstand, aber einen unterschiedlichen Inhalt. Ein herausstechender Unterschied ist, dass allein Art. 6 Abs. 4 DS-GVO die Zulässigkeit von Weiterverarbeitungen von mehreren Kriterien abhängig macht. Art. 5 Abs. 1 lit. b HS. 1 DS-GVO tut dies nicht. Um zu bestimmen, welche Norm und damit welche Voraussetzungen maßgeblich sind, ist zu untersuchen, wo zwischen ihnen ein Unterschied besteht und welche Beziehung sie zueinander haben. Die sich andeutenden Unklarheiten werden in der Literatur sehr unterschiedlich angegangen.

98

C. Deliktische Haftung

(aa) Ansichten der Literatur Einigkeit besteht in der Literatur darüber, dass „Weiterverarbeitung“ alle Verarbeitungen meine, welche auf die Erhebung eines Datums folgen.185 Das seien etwa das Speichern oder Auslesen. Über zwei wesentliche Aspekte herrscht aber Uneinigkeit. Ein solcher Aspekt ist die Frage, ob im Rahmen des Zweckbindungsgrundsatzes „Weiterverarbeitungen“ zu privilegieren sei. Dies wäre eine deutliche Abkehr vom alten BDSG, das mit seinem sog. „Phasenmodell“ für jeden einzelnen Verarbeitungsvorgang die Rechtfertigung durch einen Erlaubnissatz verlangte.186 Nach einer befürwortenden Auffassung soll es sich beim Zweckbindungsgrundsatz um eine Privilegierung zweckgemäßer Verarbeitungen handeln.187 Sie sollen vom grundsätzlichen Verarbeitungsverbot ausgenommen werden.188 Auf die Rechtfertigung durch einen Erlaubnistatbestand im Sinne des Art. 6 Abs. 1 DS-GVO käme es dann nicht mehr an. Damit würde in die Ebene der Rechtmäßigkeit eingegriffen und ihrer Bewertung jene Verarbeitungen entzogen, die bereits mit den Verarbeitungszwecken vereinbar sind. Voraussetzung soll sein, dass die Weiterverarbeitungen mit dem Primärzweck „vereinbar“ oder kompatibel sind.189 Dass die Verarbeitungen dann keines weiteren Erlaubnissatzes bedürfen, ergäbe sich aus ErwG. 50 S. 2 DSGVO.190 Einschränkend wird teilweise vertreten, dass Verarbeitungen nur dann privilegiert sein sollen, solange sie von derselben Stelle vorgenommen werden.191 Diese Einschränkung wird allerdings von anderer Seite bestritten.192 Unabhängig davon, ob dieser „kleinen“ Privilegierung gefolgt wird, würde dieses Konzept der Weiterverarbeitung eine erweiternde „Kompatibilitätsvermutung“ darstellen.193 Es sei daher Einfallstor für die Auflösung der Zweckbindung.194 Die Kritik am Privilegierungsansatz ist vielgestaltig. So wird angeführt, dass ErwG. 50 S. 2 DS-GVO nur ein Redaktionsfehler sei.195 Er beruhe da­ 185  WP

203, S. 21; Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil 2 Rn. 5. ZD 2016, 507, 510; vgl. Richter, DuD 2015, 735, 736. 187  Paal/Pauly DS-GVO/Frenzel, § 5 Rn. 31; Richter, DuD 2016, 581, 584. 188  Vgl. Richter, DuD 2016, 581, 584 f. 189  WP 203, S. 21; Monreal, ZD 2016, 507, 501. 190  Paal/Pauly DS-GVO/Frenzel, § 5 Rn. 31; Richter, DuD 2016, 581, 584. 191  Richter, DuD 2015, 735, 736. 192  Paal/Pauly DS-GVO/Frenzel, § 5 Rn. 29. 193  Monreal, ZD 2016, 507, 507 ff. 194  Paal/Pauly DS-GVO/Frenzel, Art. 5 Rn. 30. 195  Schantz, NJW 2016, 1841, 1844. 186  Monreal,



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO99

rauf, dass es sich um einen Überrest des Konzepts zur Weiterverarbeitung zu Sekundärzwecken handele, das der Rat in die DS-GVO eingefügt habe. Diesem Konzept sei der Verordnungsgeber letztendlich aber nicht gefolgt.196 Ohne ausdrücklich eine Gegenposition zum Privilegierungs-Ansatz einzunehmen, wird vertreten, dass jede einzelne Verarbeitung der Rechtfertigung durch Art. 6 Abs. 1 DS-GVO bedürfe.197 Die Zweckbindung soll nämlich einschränkend wirken und die möglichen Verarbeitungen eingrenzen.198 Weil bei der Erhebung eines Datums die Erlaubnissätze ebenso greifen sollen wie bei Weiterverarbeitungen, sei für beide Aspekte die Rechtfertigung nach Art. 6 Abs. 1 DS-GVO erforderlich.199 In unausgesprochener Ablehnung einer Privilegierung wird teilweise lediglich der einschränkende Charakter des Zweckbindungsgrundsatzes betont.200 Auch der Europäische Datenschutzausschuss spricht sich gegen eine Privilegierung aus. Er schlägt vor, in zwei Stufen zu prüfen: Zunächst soll eine Rechtsgrundlage erforderlich sein, weil das grundsätzliche Verbot mit Erlaubnisvorbehalt weiterhin greife. Könne dies bejaht werden, sei zu prüfen, ob die Weiterverarbeitung mit dem Primärzweck noch vereinbar sei.201 Diese zwei-Stufen-Prüfung sei zwar zur alten Rechtslage entwickelt worden, soll von der DS-GVO aber aufgenommen worden sein.202 Ein weiterer, grundlegender Streitpunkt ist das Verhältnis von Art. 5 Abs. 1 lit. b HS. 1 und Art. 6 Abs. 4 DS-GVO zueinander. Beide Normen werden überwiegend als einheitlicher Zweckbindungsgrundsatz angesehen.203 Beide sollen die „Weiterverarbeitung“ erlauben, solange sie mit dem Primärzweck vereinbar sei.204 Dies gelte auch dann, wenn man, wie teilweise vorgeschlagen, Art. 5 Abs. 1 lit. b DS-GVO aus Sicht des Betroffenen beurteile, Art. 6 Abs. 4 DS-GVO aber aus der Sicht des Verantwortlichen.205 Hiervon leicht abweichend wird vertreten, dass der Kompatibilitätstest nach Art. 5 Abs. 1 lit. b HS. 1 DS-GVO von Art. 6 Abs. 4 DS-GVO ausgefüllt werde.206 In diese Richtung geht allerdings der Europäische Datenschutzausschuss, indem er zwischen beiden Normen unterscheidet. Die Tests zur Bestimmung der NJW 2016, 1841, 1844. Datenschutzrecht/Albrecht/Jotzo, Teil 3 Rn. 4. 198  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil 2 Rn. 5. 199  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil 3 Rn. 53. 200  Wybitul DS-GVO/Böhm/Ströbel, Art. 5 Rn. 14 201  WP 203, S. 11 ff. 202  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil 3 Rn. 53 f. 203  Vgl. BeckOK DatenSR DS-GVO/Schantz, Art. 5 Rn. 23 ff.; Paal/Pauly DSGVO/Frenzel, Art. 5 Rn. 30; Wybitul DS-GVO/Böhm/Ströbel, Art. 5 Rn. 16. 204  Vgl. Monreal, ZD 2016, 507, 510; Paal/Pauly DSGVO/Frenzel, Art. 6 Rn. 46. 205  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 47. 206  Monreal, ZD 2016, 507, 509 f. 196  Schantz,

197  Albrecht/Jotzo

100

C. Deliktische Haftung

vom Zweckbindungsgrundsatz erlaubten „Weiterverarbeitung“ seien anhand einer formellen und einer substanziellen Wertung zu charakterisieren.207 Art. 5 Abs. 1 lit. b HS. 1 DS-GVO sei ein formeller, Art. 6 Abs. 1 DS-GVO ein substanzieller Test. (bb) Wortlautauslegung Eine Analyse des Konzepts der Weiterverarbeitung bedarf zunächst einer Auslegung des Wortlauts beider Normen. Aus dem Wortsinn ergibt sich, dass die Weiterverarbeitung alle Verarbeitungen betrifft, die der Erhebung folgen. Die Erhebung ist die erste denkbare Verarbeitung, jede folgende Verarbeitung ist eine Weitere, also eine Weiterverarbeitung. Dass bereits zur Erhebung ein eindeutiger und legitimer Zweck festgelegt sein muss, bleibt hiervon unberührt. Dass der Zweckbindungsgrundsatz eine Privilegierung darstellen soll, ergibt sich aus dem Wortlaut nicht. Keine der relevanten Normen enthält einen entsprechenden Hinweis. Art. 5 Abs. 1 lit. b HS. 1 DS-GVO spricht davon, dass die Weiterverarbeitung unzulässig ist, wenn sie mit dem Zweck bei Erhebung, also dem Primärzweck, nicht vereinbar ist. Art. 6 Abs. 4 DS-GVO erlaubt die Weiterverarbeitung zu einem Sekundärzweck, wenn dies die dort genannten Kriterien gebieten. Die Rechtmäßigkeitsanforderungen werden auch hier nicht erwähnt. Ebenso wenig beinhalten die Erlaubnisnormen des Art. 6 Abs. 1 DS-GVO, dass sie dann nicht greifen sollen, wenn die Verarbeitung mit dem Primär- oder Sekundärzweck vereinbar ist. Weil die Verordnung aber zwischen dem Grundsatz der Rechtmäßigkeit (Art. 5 Abs. 1 lit. a Var. 1 DS-GVO) und dem Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b DS-GVO) unterscheidet – und dies auch in Art. 6 Abs. 1 DS-GVO fortführt – müsste ausdrücklich bestimmt werden, falls der eine Grundsatz vom anderen abhängen soll. Eine Betrachtung des Wortlauts offenbart auch, dass sich beide Normen unterscheiden. Art. 5 Abs. 1 lit. b HS. 1 DS-GVO bezieht sich auf den Zweck bei Erhebung, dem Primärzweck. Diese Norm kommt also zur Anwendung, wenn die Vereinbarkeit der Verarbeitung mit dem Primärzweck zu prüfen ist. Art. 6 Abs. 4 DS-GVO greift bei „Verarbeitung[en] zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden“. Diese Norm verlangt demnach, dass die Vereinbarkeit der Verarbeitung mit dem Sekundärzweck infrage steht. Sie bietet zudem Kriterien an, um dies festzustellen. Art. 6 Abs. 4 DS-GVO findet Anwendung, wenn Daten zum 207  WP 203, S. 21; zur Berücksichtigung des Kontexts auch: Paal/Pauly DS-GVO/ Frenzel, Art. 5 Rn. 27.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO101

Sekundärzweck verarbeitet werden und regelt die Vereinbarkeit des Sekun­ därzwecks mit dem Primärzweck. Sie stellt damit eine Ausnahme zu Art. 5 Abs. 1 lit. b DS-GVO dar. Erkennt man diese unterschiedlichen Wirkrichtungen der beiden Zweckbindungsnormen, erübrigt sich auch ein denkbarer „a maiore ad minus“Schluss. Danach könnten die in Art. 6 Abs. 4 DS-GVO aufgeführten Kriterien, die zur Beurteilung der Sekundärzweckverarbeitung herangezogen werden, auch für die Primärzweckverarbeitung gelten. Wie oben dargelegt, regelt sie aber einen anderen Aspekt des Zweckbindungsgrundsatzes. Ihre Rechtsfolge soll damit gerade nicht der des Art. 5 Abs. 1 lit. b HS. 2 DSGVO entsprechen. (cc) Auslegung des historischen Verordnungsgeberwillens (α) ErwG.  50 DS-GVO als Hinweis auf den Verordnungsgeberwillen Der historische Verordnungsgeberwillen ergibt sich zunächst aus den Erwägungsgründen. Nach ErwG. 50 S. 1, 2 DS-GVO sollen Weiterverarbeitungen dann keine eigene Rechtsgrundlage erfordern, wenn sie Sekundärzwecke verfolgen, die mit dem Primärzweck vereinbar sind. Daraus könnte geschlossen werden, dass auch dann keine Rechtsgrundlage erforderlich wäre, wenn die Weiterverarbeitung den Primärzweck selbst verfolgen würde. Schließlich könnte „a maiore ad minus“ gelten, dass auch die Primärzweckverarbeitung privilegiert sein soll, wenn schon die Sekundärzweckverarbeitung privilegiert ist. Aber auch ErwG. 50 DS-GVO selbst ist einer Veränderungshistorie unterlegen. Wird sie untersucht, könnte der historische Verordnungsgeberwillen deutlicher werden. (β) Versionsgeschichte von ErwG. 50; Art. 5 Abs. 1 lit. b; 6 Abs. 4 DS-GVO Für den Zweckbindungsgrundsatz sind ErwG. 50; Art. 5 Abs. 1 lit. b und 6 Abs. 4 DS-GVO maßgeblich, deren Versionsgeschichte hier aufgezeigt werden soll. Ursprünglich regelte Art. 6 Abs. 4 DS-GVO-KOM die Weiterverarbeitung. Sie war nur dann zulässig, wenn einer der Erlaubnistatbestände zutraf. Diese Regelung wurde mit Art. 6 DS-GVO-EP vollständig gestrichen. Erst Art. 6 Abs. 3a DS-GVO-Rat führte sie wieder ein, trennte aber zwischen der Einwilligung und den übrigen Erlaubnistatbeständen. Bei einer Einwilligung war eine Prüfung der Vereinbarkeit der Zwecke nicht erforderlich. Lag keine Einwilligung vor, wurde verlangt, dass die in der Norm aufgeführten Kriterien für die Zweckvereinbarkeit sprechen. Waren danach die Zwecke nicht miteinander vereinbar, musste jedenfalls ein Erlaubnistatbestand vorlie-

102

C. Deliktische Haftung

gen (Art. 6 Abs. 4 DS-GVO-RAT). Der finale Art. 6 Abs. 4 DS-GVO behält zwar die Privilegierung der Einwilligung bei, setzt aber einen Erlaubnistatbestand nicht mehr voraus. Der Gesetzgebungsprozess ließ Art. 5 Abs. 1 lit. b DS-GVO im Kern unangetastet. Bereits der Kommissionsentwurf sah vor, dass die Weiterverarbeitung dem festgelegten Zweck entsprechen muss. Im Rat wurde hinzugefügt, dass diverse im öffentlichen Interesse liegende Zwecke stets als zweckgemäß anzusehen sind. ErwG. 50 DS-GVO-KOM befasste sich mit „andere[n] Zwecke[n]“. Die Verarbeitung zu anderen Zwecken war nur dann zulässig, wenn diese Sekundärzwecke mit den Primärzwecken vereinbar waren, was etwa für diverse im öffentlichen Interesse liegende Zwecke galt. Kriterien hierfür wurden zwar nicht aufgestellt, aber bestimmt, dass die Verarbeitung zu Sekundärzwecken auch dann zulässig war, wenn sie durch einen Erlaubnistatbestand gerechtfertigt werden konnte. Eine Privilegierung der Weiterverarbeitung ist nicht erkennbar. Dieser Erwägungsgrund wurde in der EP-Version ersatzlos gestrichen und als ErwG. 50 DS-GVO-RAT wiederaufleben gelassen. Für den Fall, dass die Zwecke miteinander vereinbar waren, wurde die Rechtsfolge vorgesehen, dass dann keine eigene Rechtsgrundlage mehr erforderlich war. Hierbei handelt es sich um das Gegenstück zu Art. 6 Abs. 4 DS-GVORAT. Während dieser festhielt, dass bei fehlender Zweckvereinbarkeit jedenfalls eine Rechtmäßigkeitsprüfung ausreichte, bestimmte ErwG. 50 DSGVO-Rat spiegelbildlich, dass bei Zweckvereinbarkeit, keine Rechtmäßigkeitsprüfung mehr notwendig war. Dies entspricht dem finalen ErwG. 50 DS-GVO. (γ) Analyse der Versionsgeschichte Zunächst ist ersichtlich, dass Art. 5 Abs. 1 lit. b DS-GVO von Art. 6 Abs. 4 DS-GVO zu unterscheiden ist. Letzerer wurde maßgeblich umgestaltet. Während der ursprüngliche Art. 6 Abs. 4 DS-GVO-KOM auf die Erlaubnistatbestände abstellte, hat der finale Art. 6 Abs. 4 DS-GVO die Vereinbarkeit des Sekundärzwecks mit dem Primärzweck zum Gegenstand. Art. 5 Abs. 1 lit. b DS-GVO blieb hingegen weitestgehend unverändert. Bei seiner Einführung war der Art. 6 Abs. 4 DS-GVO mithin noch ein anderer. Die Kriterien des finalen Art. 6 Abs. 4 DS-GVO können nicht auf den statischen Art. 5 Abs. 1 lit. b DS-GVO übertragen werden. Das entspräche nicht dem historischen Verordnungsgeberwillen. Art. 6 Abs. 4 DS-GVO hat sich im Laufe des Verordnungsgebungsprozesses stark gewandelt. Während die erste Version das Vorliegen eines Erlaubnis­ tatbestandes für ausreichend erachtete, fiel diese Voraussetzung der Zweck-



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO103

vereinbarkeit in der finalen Version fort. Gleichwohl wurde die Stelle in ErwG. 50 DS-GVO, die das Spiegelbild dieser Zweckvereinbarkeitsvoraussetzung war, beibehalten. Es wird deutlich, dass er nur ein Überbleibsel aus Vorläuferversionen ist. Bei ErwG. 50 S. 1, 2 DS-GVO handelt es sich in der Tat um ein Relikt, das nur durch ein Redaktionsversehen verbleiben konnte. Ohnehin gilt: Hätte der Verordnungsgeber eine so weitreichende Privilegierung treffen wollen, wie den Wegfall der Rechtmäßigkeitsanforderungen bei Vorliegen einer Zweckvereinbarkeit, hätte er dies positivrechtlich verankert. Weil er dies aber nicht getan hat, kann davon ausgegangen werden, dass er keine Aushebelung und damit keine Privilegierung beabsichtigte.208 (dd) Systematische Auslegung (α) Privilegierung von zweckkompatiblen Verarbeitungen? Zunächst wird untersucht, ob die Verordnungssystematik die Privilegierung bei Zweckkompatibilität im Sinne des Art. 6 Abs. 4 DS-GVO erlaubt. Das würde bedeuten, dass es auf die Rechtmäßigkeit nach Art. 6 Abs. 1 DSGVO nicht mehr ankäme, sobald die Verarbeitung zu Sekundärzwecken erfolgt. Dabei wohnt gerade diesen Verarbeitungen ein höheres Gefährdungspotenzial inne als Verarbeitungen zum Primärzweck. Auf den Zweck bei ­Erhebung der Daten hat der Betroffene schließlich einen größeren Einfluss als auf die Festlegung eines Sekundärzwecks. Die Erhebung muss beim ­Betroffenen ansetzen. Zudem können Sekundärzweckverarbeitungen häufiger vorkommen, als die sich eventuell auf die Erhebung beschränkende Primärzweckverarbeitung. Die Anwendung des Rechtmäßigkeitsgrundsatzes gerade bei Verarbeitungen zu verweigern, auf die der Betroffene weniger Einfluss hat, nimmt der Norm ihre Effektivität. Dadurch gerät sie mit dem effet utile des Art. 6 Abs. 1 DS-GVO in Konflikt. Diese Einbuße wird auch nicht dadurch ausgeglichen, dass die Wertungen der Erlaubnisnormen des Art. 6 Abs. 1 DS-GVO im Rahmen der Legitimitäts-Prüfung nach Art. 5 Abs. 1 lit. b HS. 1 DS-GVO Berücksichtigung finden. Denn dies ist eine bloß mittelbare Anwendung. Als solche muss sie gegebenenfalls hinter anderen Wertungen des Primär- oder Sekundärrechts zurücktreten. Auch die weitere Verordnungssystematik spricht dagegen, zweckkompatible Verarbeitungen nach Art. 6 Abs. 4 DS-GVO von Rechtmäßigkeitsanforderungen des Art. 6 Abs. 1 DS-GVO auszunehmen. Gemäß Art. 83 Abs. 5 lit. a DS-GVO ist die Verletzung von Art. 6 Abs. 1 DS-GVO bußgeldbewährt. Könnte dieser nicht oder kaum verletzt werden, weil er nicht direkt oder nur 208  BeckOK

DatenSR DS-GVO/Schantz, Art. 5 Rn. 23.1.

104

C. Deliktische Haftung

in Randbereichen angewendet wird, würde die Bußgeldbestimmung unterlaufen werden. Zudem zeigt die Bußgeldbewährung, dass Art. 6 Abs. 1 DS-GVO eine herausragende Stellung im Normgefüge der Verordnung einnimmt. Nicht jede Norm ist bußgeldbewährt. Zu berücksichtigen ist auch, dass die Erlaubnissätze des Art. 6 Abs. 1 DSGVO Ausdruck des Rechtmäßigkeitsgrundsatzes nach Art. 5 Abs. 1 Var. 1 DS-GVO sind. Es ist nicht ersichtlich, dass der Rechtmäßigkeitsgrundsatz hinter dem Zweckbindungsgrundsatz zurückstehen sollte. Weder der Wortlaut des Art. 5 DS-GVO noch der Wortlaut anderer Normen noch die Systematik der Verordnung geben Anlass zu dieser Auslegung. Dies wäre aber die Folge einer Privilegierung der Zweckbindung auf Kosten der Rechtmäßigkeit. Eine Verarbeitung ist vielmehr nur dann zulässig, wenn sie beide Anforderungen kumulativ erfüllt:209 Sie muss als Weiterverarbeitung mit dem Primärzweck kompatibel und mit den Erlaubnissätzen gerechtfertigt sein. Wenn der Zweckbindungsgrundsatz bei Vorliegen seiner Voraussetzungen die Verarbeitung von den Anforderungen des Rechtmäßigkeitsgrundsatzes befreien würde, wären die Verarbeitungen nicht mehr derart privilegiert, wenn seine Voraussetzungen nicht mehr vorlägen. Sie wären damit „normal“ zu bewerten und am Rechtmäßigkeitsgrundsatz zu messen. Damit müssten Verarbeitungen, etwa mit einem „berechtigten Interesse“ (Art. 6 Abs. 1 lit. f DS-GVO) gerechtfertigt werden. Welches Interesse die DS-GVO als berechtigt ansehen soll, obwohl es die Zweckbindung missachtet, ist nicht vorstellbar. Ebenso kann kaum erdacht werden, welche Verarbeitung für die „Erfüllung eines Vertrages“ (Art. 6 Abs. 1 lit. b DS-GVO) notwendig sein soll, obwohl sie dem Zweck des Datums widerspricht. Möchte man dieses systematische Problem des Privilegierungsansatzes vermeiden, ohne ihn aufzugeben, müsste man vertreten, dass Verarbeitungen, die nicht privilegiert sind, immer unzulässig sind. Dann aber würde Art. 6 Abs. 1 DS-GVO als Rechtmäßigkeitsnorm schlicht übergangen. Wollte man ihn stattdessen bei der Bewertung der Legitimität des Zwecks (Art. 5 Abs. 1 lit. b HS. 1 DS-GVO) berücksichtigen, überginge man die Unterschiedlichkeit der Grundsätze und der Normwortlaute, die zwischen Legitimität und Rechtmäßigkeit trennen. Jede Variante des Privilegierungsansatzes endet bei unauflöslichen Widersprüchen. Ihm kann daher nicht gefolgt werden. Sieht man den Zweckbindungsgrundsatz hingegen nicht als Privilegierung, sondern als Beschränkung, die neben dem Rechtmäßigkeitsgrundsatz existiert, werden diese Wertungswidersprüche vermieden. Versteht man den Zweckbindungsgrundsatz nicht als Privilegierung, sondern als Einschränkung, ergibt sich bei Betrachtung aller drei relevanten 209  Schantz,

NJW 2016, 1841, 1844.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO105

Normen zur Zweckmäßigkeit und zur Rechtmäßigkeit ein ausgewogenes Gesamtbild. Denn unabhängig von seiner dogmatischen Auslegung enthält Art. 5 Abs. 1 lit. b HS. 1 DS-GVO eine Beweislastumkehr für die Weiterverarbeitung.210 Dies ergibt sich aus der negativen Formulierung, dass eine Verarbeitung „nicht“ erlaubt ist, wenn sie „nicht“ mit dem Primärzweck vereinbar ist. Der Betroffene muss beweisen, dass die Weiterverarbeitung des Verantwortlichen mit dem Primärzweck (nicht den Erlaubnistatbeständen) gebrochen hat. Da es sich bei der Datenerhebung nicht um eine Weiterverarbeitung handelt, ist sie nicht von der Beweislastumkehr betroffen. Bei Art. 6 Abs. 4 DS-GVO findet sich keine Umkehr der Beweislast, weswegen der Verantwortliche die Sekundärzweckvereinbarkeit beweisen muss. Dies wird von der allgemeinen Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO gestützt, die dem Verantwortlichen auferlegt, die Einhaltung der Datenschutzgrundsätze beweisen zu können. Dieses Zusammenspiel verdeutlicht, dass der Verantwortliche zwar von der Pflicht befreit ist, den angesichts der Offenheit des Tatbestandsmerkmals schwierigen Beweis anzutreten, dass seine Verarbeitung „legitim“ ist. Dennoch wird er eben hierauf verpflichtet, wenn er die Ausnahme vom Zweckbindungsprinzip bei Sekundärzweckverarbeitungen nach Art. 6 Abs. 4 DS-GVO für sich in Anspruch nehmen möchte. Aber auch bei der Primärzweck-Weiterverarbeitung muss er die Rechtmäßigkeit beweisen. Indem der Betroffene auf nicht-legitime Zwecke verweisen kann, besteht die Möglichkeit eines Korrektivs. Die hier abgelehnte Auslegung würde hingegen zur Folge haben, dass der Verantwortliche nicht nur materiellrechtlich von den Rechtmäßigkeitsanforderungen weitestgehend befreit werden würde, sondern dass er noch nicht einmal beweisen müsste, warum seine Verarbeitung zulässig war. (β) Unterscheidung zwischen Art. 5 Abs. 1 lit. b HS. 1 DS-GVO und Art. 6 Abs. 4 DS-GVO Im Folgenden wird auf die sich aus der Verordnungssystematik ergebene Beziehung zwischen den beiden Normen eingegangen: Sie beziehen sich auf unterschiedliche Zeitpunkte. Art. 5 Abs. 1 lit. b HS. 1 DS-GVO bezieht sich auf den Zeitpunkt der Erhebung des personenbezogenen Datums und den dann festgelegten Zweck, also den Primärzweck. Art. 6 Abs. 4 DS-GVO hingegen betrifft die Zweckänderung und damit einen Zeitpunkt, der notwendigerweise zeitlich nach dem Erhebungszeitpunkt liegt. Versteht man die eine Norm als die Ergänzung der anderen, ergibt sich eine umfassende Ausgestaltung des Zweckbindungsgrundsatzes.

210  Paal/Pauly

DS-GVO/Frenzel, Art. 5 Rn. 30.

106

C. Deliktische Haftung

(ee) Auslegung nach Sinn und Zweck Gegen eine Auslegung, die in dem Zweckbindungsgrundsatz eine Privilegierung kompatibler Verarbeitungen sieht, spricht, dass der Zweckbindungsgrundsatz die Verarbeitung beschränken und nicht erweitern soll. Das ergibt sich generell aus Art. 1 Abs. 1 Var. 1, Abs. 2 DS-GVO, wonach der Betroffene geschützt werden soll. Eine Privilegierung bei Primärzweckkompatibilität ist damit nicht vereinbar. Die Weiterverarbeitung von personenbezogenen Daten gefährdet auch die Grundrechte und -freiheiten des Betroffenen. Zwischen den verantwortlichen Unternehmen, die häufig im außereuropäischen Ausland sitzen, und dem Betroffenen herrscht regelmäßig ein großes Macht- und Informationsungleichgewicht. Die Möglichkeiten des Betroffenen, auf die Verarbeitung einzuwirken, sinken. Während der Erhebung seiner personenbezogenen Daten ist er in einer besseren Position und kann leichter spätere Auswirkungen abschätzen.211 Daher sollte der Zweck, der bei der Erhebung festgelegt wird, für jede weitere Verarbeitung bindend sein.212 Der Zweckbindungsgrundsatz soll daher beschränkend wirken. Die Einordnung des Zweckbindungsgrundsatzes als Privilegierung würde zum Gegenteil führen und zur Realisierung der Gefahren für den Betroffenen beitragen. (ff) Zwischenergebnis Konzept der Weiterverarbeitung Es ist mit keiner Lesart begründbar, dass der Zweckbindungsgrundsatz den Rechtmäßigkeitsgrundsatz aushebelt, Verarbeitungen für zulässig erklärt, die mit dem Primärzweck vereinbar sind und sie so privilegiert. Weiterverarbeitungen sind vielmehr jederzeit mit einem Erlaubnissatz nach Art. 6 Abs. 1 DS-GVO zu rechtfertigen. Beide Normen des Zweckbindungsgrundsatzes haben darüber hinaus unterschiedliche Richtungen. Art. 5 Abs. 1 lit. b HS. 1 DS-GVO behandelt die Vereinbarkeit der Verarbeitung mit dem Primärzweck. Art. 6 Abs. 4 DS-GVO betrifft hingegen die Vereinbarkeit des Sekundärzwecks mit dem Primärzweck, mithin eine Zweckänderung. Welche Norm Anwendung findet, bestimmt sich danach, ob die Verarbeitung dem Primärzweck oder dem Sekundärzweck dienen soll.

211  BeckOK

212  BeckOK

DatenSR DS-GVO/Schantz, Art. 5 Rn. 19. DatenSR DS-GVO/Schantz, Art. 5 Rn. 19.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO107

(b) Vereinbarkeit der Verarbeitung mit Art. 5 Abs. 1 lit. b HS. 1 DS-GVO Erfolgt die Verarbeitung zur Erreichung des Primärzwecks, wurde eine Zweckänderung also nicht vorgenommen, ist nach Art. 5 Abs. 1 lit. b HS. 1 DS-GVO zu prüfen, ob die Verarbeitung mit dem Primärzweck vereinbar ist. Dazu muss die Weiterverarbeitung unter den bei Erhebung festgelegten Zweck subsumiert werden.213 Auf vollständige Deckungsgleichheit von Weiterverarbeitung und Primärzweck kommt es dabei nicht an, erlaubt sind auch geringe Abweichungen.214 Ist die Weiterverarbeitung mit Art. 5 Abs. 1 lit. b HS. 1 DS-GVO vereinbar, stellt sich nachgehend die Frage, ob sie auch rechtmäßig ist. Ist sie bereits nicht mit dem festgelegten Zweck vereinbar, ist sie unzulässig. Maßstab der Vereinbarkeit kann nur die objektive Beurteilung eines Dritten sein, nicht etwa die Sichtweise von Verantwortlichen oder Betroffenen, da andernfalls die DS-GVO keine einheitlichen Wertungen treffen könnte. Im Folgenden wird die Vereinbarkeit von Primärzwecken mit der Akkumulierung, Bildung und Verwendung von Persönlichkeitsprofilen untersucht. (aa) A  kkumulierung der personenbezogenen Daten für ein Persönlichkeitsprofil als Weiterverarbeitung nach Art. 5 Abs. 1 lit. b DS-GVO Als erster Verarbeitungsschritt wird die Akkumulierung personenbezogener Daten behandelt. Bei der Akkumulierung handelt es sich um eine „Weiterverarbeitung“ im Normsinne, weil sie aus den Verarbeitungsschritten der Erhebung, Erfassung, Speicherung, und Offenlegung der Daten besteht. Besteht der Zweck aus der Akkumulierung, muss er die oben beschriebenen Inhalte haben. Das bedeutet unter anderem, dass er auch die Bildung von Persönlichkeitsprofilen und ihre geplante Verwendung nennen muss.215 Die Akkumulierung selbst, also der tatsächliche Vorgang, ist dann eine mit Art. 5 Abs. 1 lit. b DS-GVO zu vereinbarende Weiterverarbeitung. Genügt der festgelegte Zweck nicht den obigen inhaltlichen Anforderungen, ist eine Akkumulierung nicht zulässig. Dies tritt neben die Wertung, dass ein solcher Zweck dann auch nicht eindeutig und legitim ist. Insbesondere wenn der Zweck lediglich „Personalisierung“, „Werbung“, „Verbesserung der Nutzererfahrung“ oder die „Weitergabe an Dritte“ aufführt, kann eine akkumulierende Verarbeitung hierunter nicht subsumiert werden. Der Wortsinn dieser Festlegungen lässt nicht objektiv erkennen, dass möglichst 213  Vgl.

WP 203, S. 21 f. DuD 2015, 735, 736. 215  Siehe oben Abschnitt C.I.1.c)dd)(1)(b). 214  Richter,

108

C. Deliktische Haftung

viele Daten aus möglichst unterschiedlichen Quellen für ein Persönlichkeitsprofil gesammelt werden sollen. (bb) B  ildung von Persönlichkeitsprofilen als Weiterverarbeitung nach Art. 5 Abs. 1 lit. b DS-GVO Auch die Bildung von Persönlichkeitsprofilen muss vom Primärzweck der Verarbeitung der personenbezogenen Daten gedeckt sein, um als Weiterverarbeitung zulässig sein zu können. Wie oben beschrieben, erfordern bereits die Anforderungen an die Eindeutigkeit des Zwecks, dass sowohl die Bildung als auch die Verwendung des Persönlichkeitsprofils und die vorangehende Akkumulierung der Daten im Zweck bezeichnet werden müssen.216 Führt der Zweck aus, dass Profilbildung bedeutet, dass personenbezogene Daten neu generiert und neu verknüpft werden, ist die Profilbildung als tatsächliche Verarbeitung hierunter subsumierbar und als Weiterverarbeitung nicht unzulässig. Sind als Zwecke „Werbung“, „Verbesserung der Nutzererfahrung“ oder die „Weitergabe an Dritte“ festgelegt, lässt sich die Bildung von Persönlichkeitsprofilen hierunter nicht subsumieren. Der Primärzweck „Personalisierung“ würde zwar bedeuten, dass personenbezogene Daten verwendet und aus ihnen Rückschlüsse gezogen werden. Er wäre so allgemein formuliert, dass eine entsprechende Weiterverarbeitung unter ihnen subsumiert werden könnte. Ihn als Zweck festzulegen scheitert aber daran, dass er, gerade wegen seiner Pauschalität, nicht eindeutig ist. Ob eine Verarbeitung unter einem nicht-eindeutigen und damit nicht-legitimen Zweck subsumiert werden könnte, ist unerheblich, da ohnehin unzulässig. (cc) V  erwendung von Persönlichkeitsprofilen als Weiterverarbeitung nach Art. 5 Abs. 1 lit. b DS-GVO Schließlich müssen Datenverarbeitungen zur Verwendung von Persönlichkeitsprofilen mit ihrem Primärzweck kompatibel sein. Der Primärzweck muss, um festgelegt, eindeutig und legitim zu sein, bereits die Anwendungsgebiete benennen.217 Das gilt auch, wenn die Daten nur Dritten weitergegeben werden sollen. Die Verwendung von Persönlichkeitsprofilen für diese Anwendungsgebiete stellt dann eine kompatible Weiterverarbeitung dar. Nicht kompatibel sind Verwendungen in anderen, als den festgelegten Bereichen. 216  Siehe 217  Siehe

oben Abschnitt C.I.1.c)dd)(2)(b). oben Abschnitt C.I.1.c)dd)(3)(d).



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO109

Der mangels Eindeutigkeit abzulehnende Zweck der „Personalisierung“ würde die Verwendung von Persönlichkeitsprofilen zwar abdecken, kann aber nicht zulässigerweise festgelegt werden. Zwecke wie „Verbesserung der Nutzererfahrung“ oder „Werbemaßnahmen“ lassen objektiverweise bereits nicht erkennen, dass Persönlichkeitsprofile eingesetzt werden. (dd) Z  wischenergebnis Vereinbarkeit der Verarbeitung mit Art. 5 Abs. 1  lit. b HS. 1 DS-GVO Alle Verarbeitungsschritte, die Akkumulierung personenbezogener Daten, die Bildung und die Verwendung von Persönlichkeitsprofilen, sind von der Weiterverarbeitung zu Primärzwecken im Sinne des Art. 5 Abs. 1 lit. b HS. 1 DS-GVO umfasst, sofern diese Primärzwecke wie oben beschrieben festgelegt, eindeutig und legitim sind. Die Weiterverarbeitung für Persönlichkeitsprofile bei Zwecken wie „Werbung“, „Verbesserung der Nutzererfahrung“, „Weitergabe an Dritte“ oder „Personalisierung“ ist nicht zulässig. (ee) Privilegierte Zwecke Art. 5 Abs. 1 lit. b HS. 2 DS-GVO privilegiert im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke sowie statistische Zwecke gemäß Art. 89 Abs. 1 DS-GVO. Verarbeitungen, die ihnen dienen, sind als zulässig anzusehen. Auch dieser Regelung wird der Charakter eines Einfallstores attestiert.218 Akkumulierung und Profilbildung könnten statistische Verfahren im Normsinne und daher privilegiert sein.219 Dafür spricht, dass der Europäische Datenschutzausschuss kommerzielle Datenanalysen, bezugnehmend auf die DSRL, als statistischen Zweck privilegierte.220 Einschränkend sollte die Verarbeitung von der ursprünglich verantwortlichen Stelle durchgeführt werden und durfte nicht Grundlage von Maßnahmen oder Entscheidungen gegenüber individuell Betroffenen werden.221 Auch mussten weitere Garantien zum Schutz der Betroffenen eingesetzt werden, schließlich unterlag die Verarbeitung zu privilegierten Zwecken gleichwohl einer Abwägung.222 Das nach der DS-GVO Akkumulierung und Profilbildung privilegiert sein können, ist fraglich. Art. 5 Abs. 1 lit. b HS. 2 DS-GVO verlangt nämlich ein DuD 2016, 155, 157; Paal/Pauly DS-GVO/Frenzel, Art. 5 Rn. 33. Richter, DuD 2015, 735, 738; Richter, DuD 2016, 581, 582. 220  WP 203, S. 29. 221  WP 203, S. 29 f. 222  Vgl. WP 203, S. 30 ff. 218  Buchner, 219  Vgl.

110

C. Deliktische Haftung

„öffentliches Interesse“, welches bei kommerziellen statistischen Zwecken nicht gegeben sein dürfte.223 Daher soll eine Privilegierung bei jedem Verfahren, welches auf ein Individuum zurückgeführt werden kann, ausgeschlossen sein.224 Es sind daher solche Statistiken nicht umfasst, deren Ergebnis personenbezogene Daten sind.225 Darüber hinaus sollen die Privilegierungen nach dem in den ErwG. 125 ff. DS-GVO niedergelegten Willen des Gesetzgebers eng ausgelegt werden.226 Nach ErwG. 163 S. 1 DS-GVO soll die Ausnahme außerdem nur zugunsten amtlicher Statistiken gelten, nicht aber statistische Verfahren von privaten Datenverarbeitern umfassen.227 Schließlich soll die Privilegierung lediglich das Gemeinwohl und politische Entscheidungsprozesse fördern und nicht die private Gewinnabsicht.228 Persönlichkeitsprofile, Profiling oder Scoring können von dieser Privilegierung nicht profitieren.229 Dies gilt insbesondere, wenn sie von nicht-öffentlichen Stellen durchgeführt werden. (c) Vereinbarkeit der Verarbeitung mit Art. 6 Abs. 4 DS-GVO Solange Daten noch für den Primärzweck verarbeitet werden, ist die Kompatibilität der Weiterverarbeitung mit Art. 5 Abs. 1 lit. b HS. 1 DS-GVO zu prüfen. Vom ursprünglichen, bei Erhebung festgelegten Zweck kann aber ausdrücklich oder faktisch abgewichen werden.230 Dann handelt es sich um Sekundärzwecke. Solche sind auf die Vereinbarkeit mit den Primärzwecken zu überprüfen, wofür entweder eine Einwilligung, mitgliedstaatliche Vorschriften oder die Kriterien des Art. 6 Abs. 4 DS-GVO heranzuziehen sind. Ergibt sich aus ihnen, dass Sekundär- mit Primärzwecken nicht vereinbar sind, stellt jede Weiterverarbeitung zu diesen Sekundärzwecken einen Verstoß gegen die Verordnung dar. (aa) Privilegierte Zweckänderungen Art. 6 Abs. 4 DS-GVO kennt zwei Tatbestände, bei denen die Sekundär­ zweckprüfung unnötig ist, weil von der Vereinbarkeit mit dem Primärzweck auszugehen ist. Soweit die einen Sekundärzweck verfolgende Verarbeitung 223  Vgl.

Richter, DuD 2015, 735, 739. DuD 2015, 735, 739; Richter, DuD 2016, 581, 584. 225  Richter, DuD 2016, 581, 584. 226  Buchner, DuD 2016, 155, 157. 227  Paal/Pauly DS-GVO/Frenzel, Art. 5 Rn. 32; Richter, DuD 2015, 735, 737. 228  Richter, DuD 2016, 581, 584. 229  Vgl. Buchner, DuD 2016, 155, 157; Schantz, NJW 2016, 1841, 1842. 230  WP 203, S. 39. 224  Richter,



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO111

auf einer Einwilligung oder auf „einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt“ beruht, müssen die Kriterien des Art. 6 Abs. 4 DSGVO nicht herangezogen werden.231 Die Privilegierung ergibt sich aus dem Normwortlaut, nach der die Vereinbarkeit nur geprüft werden muss, wenn sie nicht auf einer der beiden vorgenannten Alternativen basiert. Sie sind insofern privilegiert. Inwiefern Einwilligungen Persönlichkeitsprofile erlauben können, wird unten behandelt.232 Damit ist aber auch ersichtlich, dass ein Sekundärzweck auch ohne Einwilligung des Betroffenen zulässig sein kann, wenn die Kriterien dies hergeben. Für eine Rechtsvorschrift des deutschen Rechts im Sinne des Art. 23 DSGVO kommt § 24 BDSG n. F. in Betracht. Dieser erlaubt die Zweckänderung nicht-öffentlicher Stellen, wenn dies zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit, zur Verfolgung von Straftaten, zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist. Dass Akkumulierung, Bildung oder Verwendung von Persönlichkeitsprofilen darunter subsumierbar wären, ist nicht ersichtlich. (bb) Kriterien des Art. 6 Abs. 4 DS-GVO (α) Die Kriterien und ihre Bedeutung Die Prüfung der Vereinbarkeit mit dem Sekundärzweck ist einer der wichtigsten Punkte für die „Big Data“-Anwendungen.233 Die Daten, die sie verwenden, werden häufig in einen neuen Kontext gesetzt, was bedeutet, sie zu einem neuen Zweck weiterzuverarbeiten. Die Weiterverarbeitung im Sinne des Art. 6 Abs. 4 DS-GVO bietet auch insofern neue Möglichkeiten, als dass die Tatbestandsmerkmale der Festlegung, Eindeutigkeit und Legitimität, wie sie Art. 5 Abs. 1 lit. b HS. 1 DS-GVO aufstellen, hier nicht unmittelbar berücksichtigt werden müssen. Diese gelten ausdrücklich nur für den Primärzweck. Eine willkürliche Verarbeitung wird dadurch aber nicht ermöglicht. Es werden bindende Kriterien aufgestellt, die die Verarbeitung zum Sekundärzweck einschränken sollen.

231  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil  3 Rn. 55; Marnau, DuD 2016, 428, 432; Paal/Pauly DS-GVO/Frenzel, § 6 Rn. 46. 232  Siehe unten Abschnitt C.I.1.e)aa). 233  Schantz, NJW 2016, 1841, 1843 f.

112

C. Deliktische Haftung

Für die Prüfung der Kompatibilität des Sekundärzwecks mit dem oder den Primärzwecken bietet Art. 6 Abs. 4 DS-GVO fünf Kriterien.234 Diese sind die „Verbindung“ zwischen Primär- und dem Sekundärzweck (lit. a), der „Zusammenhang“ der Erhebung (lit. b), die „Art“ der personenbezogenen Daten (lit. c), die „Folgen“ der Weiterverarbeitung für den Betroffenen (lit. d) und das Vorhandensein von „Garantien“ (lit. e).235 Weil es sich um sehr offene Begriffe handelt,236 wird Art. 6 Abs. 4 DS-GVO als Einfallstor für die Zweckauflösung bezeichnet.237 Die Zweckbindung ist aber eine wichtige Säule der Verordnung und darf nicht umgangen werden. Sie dient dem Schutz des konkret Betroffenen und ist Grundlage für die Bewertung des Risikos, das von einer Verarbeitung personenbezogener Daten ausgehen kann (ErwG. 89 DS-GVO). Weil dem auch die Zweckänderung nach Art. 6 Abs. 4 DS-GVO Rechnung tragen muss, sollten die Kriterien möglichst eng ausgelegt werden und so weit wie möglich an die Tatbestandsmerkmale der Festlegung, Eindeutigkeit und Legitimität geknüpft werden.238 Dies bedeutet insbesondere, dass die Kompatibilität bereits dann zu verneinen ist, wenn sich ihr bereits eines der Kriterien entgegenstellt. Nur so wird erreicht, dass der Kompatibilitätstest die Grenzen der Zweckbindung nicht so weit hinter sich lässt, dass sie jegliche Kontur verlieren. Schließlich ist es nicht begründbar, dass eine Weiterverarbeitung zu Sekundärzwecken zulässig sein soll, obwohl keine Verbindung festgestellt werden kann oder die Folgen für den Betroffenen sehr nachteilig sind. Möchte in solchen Fällen der Verantwort­ liche die Daten dennoch für ein Persönlichkeitsprofil verarbeiten, so muss er sie direkt erheben, oder aber die Einwilligung des Betroffenen einholen. Zu den genannten Kriterien könnten noch weitere hinzutreten. Dass dies möglich ist, ergibt sich aus dem Wortlaut der Norm, welcher der Aufzählung „unter anderem“ voranstellt.239 Welche dies sein könnten, ist allerdings nicht ersichtlich. Die Kriterien müssen aus Sicht des Verantwortlichen beurteilt werden. Das macht der Satzteil „[…] so berücksichtigt der Verantwortliche […]“ (Art. 6 Abs. 4 DS-GVO) deutlich.240 Dies unterscheidet sich von der Weiterverarbeitung nach Art. 5 Abs. 1 lit. b HS. 1 DS-GVO, die objektiv beurteilt wird.

234  Siehe

Monreal, ZD 2016, 507, 510 f. DS-GVO/Frenzel, Art. 6 Rn. 46. 236  Richter, DuD 2016, 581, 584. 237  Buchner, DuD 2016, 155, 157; Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 46. 238  Buchner, DuD 2016, 155, 157. 239  Grafenstein, DuD 2015, 789, 791, 792 f. 240  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 47. 235  Paal/Pauly



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO113

Eine Verarbeitung kann mehr als einen Primärzweck haben.241 Diese Mehrzahl ist zunächst vom Sekundärzweck abzugrenzen. Kriterium hierfür ist der Zeitpunkt der Zweckfestlegung. Primärzwecke werden vor oder bei Erhebung des Datums bestimmt. Die Bestimmung von Sekundärzwecken erfolgt hingegen nachträglich. Es besteht folglich ein zeitlicher Unterschied. (β) „Verbindung“ Nach Art. 6 Abs. 4 lit. a DS-GVO darf zu einem Sekundärzweck weiterverarbeitet werden, wenn eine entsprechende „Verbindung“ zu dem Primärzweck besteht. Das soll etwa der Fall sein, wenn der Sekundärzweck bei Erhebung erwartbar gewesen ist.242 Die Erwartbarkeit bestimmt sich, wie auch die anderen Kriterien, aus der Sicht des Verantwortlichen. Grundlage seiner Sicht ist seine wirtschaftliche Ausrichtung. Ist eine vielseitige Verarbeitung personenbezogener Daten Basis seines Geschäftsmodells, steigert dies die Erwartbarkeit von Sekundärzwecken. (γ) „Zusammenhang“ Art. 6 Abs. 4 lit. b DS-GVO bestimmt den Zusammenhang bei Erhebung des personenbezogenen Datums als Kriterium für den Kompatibilitätstest. Hierbei soll es darauf ankommen, welche vernünftige Erwartungen der Betroffene hat,243 was wiederum aus Sicht des Verantwortlichen zu beurteilen ist. Diese wird insbesondere von dem Verhältnis zwischen Betroffenem und Verantwortlichem beeinflusst, wie lit. b ausdrücklich festlegt. Je deutlicher dieses von Datenverarbeitung charakterisiert wird, desto größer ist die Kompatibilität mit Sekundärzwecken. Auf die Durchführung von Datenverarbeitungen hat der Betroffene aber nicht notwendigerweise Einfluss. Ob und wie Daten verarbeitet werden, ist vielmehr Ausdruck der Kräfteverhältnisse zwischen den Beteiligten.244 Ein Verantwortlicher mit ausreichender Marktmacht könnte faktisch die Erwartung des Betroffenen und damit die Zulässigkeit der Weiterverarbeitung bestimmen. Das würde aber dazu führen, dass das Kriterium seinen regulierenden und zweckbindenden Charakter verlöre. Mit Sinn und Zweck der Vorschrift wäre das unvereinbar. Ein ungleiches Kräfteverhältnis darf nicht legalisierend wirken.

241  Siehe

oben Abschnitt C.I.1.c)dd)(1)(a)(ff). 203, S. 24. 243  WP 203, S. 24. 244  WP 203, S. 24. 242  WP

114

C. Deliktische Haftung

Ist das Verhältnis zwischen Betroffenem und Verantwortlichem jedoch ausgeglichen, kann der Erhebungszusammenhang Weiterverarbeitungen erlauben. Für ein ausgeglichenes Kräfteverhältnis sind mehrere Faktoren maßgeblich. Zunächst ist die Transparenz der Verarbeitung relevant. Der Betroffene muss wissen können, welche Verarbeitungen durchgeführt werden oder beabsichtigt sind. Er muss auch erkennen können, welche Daten Gegenstand der Verarbeitungen sind. Transparenz ist indes nur dann von Bedeutung, wenn der Betroffene auch tatsächlich die Möglichkeit hat, die Verarbeitung seiner Daten zu beenden oder sie jedenfalls zu beeinflussen. Daher ist für ein ausgeglichenes Kräfteverhältnis auch maßgeblich, inwiefern der Betroffene seine ihm in den Art. 15 ff. DS-GVO zuerkannten Rechte gegen den Verantwortlichen durchsetzen kann. Zu klären ist zudem, ob es für die Beurteilung des Zusammenhangs zwischen Primär- und Sekundärzweck allein auf das Kräfteverhältnis zum Zeitpunkt der Erhebung ankommt, oder ob auch jenes zum Zeitpunkt der Weiterverarbeitung berücksichtigt werden soll. Das Verhältnis zwischen den Beteiligten wird in Art. 6 Abs. 4 lit. b HS. 2 DS-GVO erwähnt. Dieser bezieht sich auf Art. 6 Abs. 4 lit. b HS. 1 DS-GVO, der den Erhebungszeitpunkt zum Gegenstand hat. Der Wortlaut spricht daher für den Erhebungszeitpunkt und gegen den Weiterverarbeitungszeitpunkt. Hätte der Verordnungsgeber eine Erstreckung auf die Weiterverarbeitung gewollt, hätte er dies als weiteres Kriterium hinzufügen können. Schließlich will Art. 6 Abs. 4 DS-GVO, wie alle Normen der Verordnung, den Betroffenen schützen. Die Kriterien sollen aber ausdrücklich nur als Beispiele dienen. Maßgeblich ist daher der Erhebungszeitpunkt. (δ) „Art“ Auch die Art der personenbezogenen Daten, worunter insbesondere sensitive Daten im Sinne des Art. 9 Abs. 1 DS-GVO oder Daten über strafrecht­ liche Verurteilung und Straftaten im Sinne des Art. 10 S. 1 DS-GVO fallen, ist nach Art. 6 Abs. 4 lit. c DS-GVO zu berücksichtigen. Hierunter fallen etwa politische Meinungen und Gesundheitsdaten. Sind solche Daten beim Kompatibilitätstest zu berücksichtigen, sind auch Daten, aus denen sensitive Daten generiert werden können, einzubeziehen. Beispielsweise können aus Verkehrs- bzw. Metadaten sensitive Daten gewonnen werden, indem Suchbegriffe ausgewertet und mit Standortdaten verglichen werden. Verkehrs- und Metadaten können sensitive Daten in Rohform sein. Dies ist bei der Beurteilung der Kompatibilität von Sekundärzweck mit dem Primärzweck zu berücksichtigen.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO115

(ε) „Folgen“ Art. 6 Abs. 4 lit. d DS-GVO stellt das Kriterium der Folgen für den Betroffenen zur Beurteilung der Zulässigkeit der Weiterverarbeitung auf. Während die übrigen Kriterien der lit. a bis c und e die Kompatibilität von Sekundär- mit Primärzweck erweitert haben, wirkt die Berücksichtigung der Folgen einschränkend. Grundlage für die Beurteilung der Folgen sind in erster Linie die Persönlichkeits- und Privatheitsrechte des Betroffenen. Dass Art. 6 Abs. 4 lit. d DS-GVO diese schützen will, ergibt sich aus Art. 1 Abs. 1 Var. 1, Abs. 2 DS-GVO und ErwG. 1 S. 2 DS-GVO i. V. m. Art. 8 Abs. 1 EUGRCharta und Art. 16 Abs. 1 AEUV. Eine „Folge“ im Sinne des Art. 6 Abs. 4 lit. d DSGVO kann daher nur eine solche sein, die die Persönlichkeits- und Privatheitsrechte betrifft. Erhöht sich das Risiko ihrer Verletzung massiv oder intensiviert es sich, ist eine Weiterverarbeitung unzulässig. Sind diese Verletzungen lediglich gering, spricht dies für die Vereinbarkeit der Zwecke. Welcher Grad der Rechteverletzung eintreten muss, lässt sich allerdings nicht abstrakt festlegen. Schließlich kann auch bei schwerwiegenderen Folgen die Zweckvereinbarkeit gegeben sein, wenn diese etwa durch Garantien zum Schutz des Betroffenen aufgewogen werden. Gleichwohl ist es nicht ausgeschlossen, auch positive Folgen für die Persönlichkeits- und Privatheitsrechte zu berücksichtigen.245 Dass Verarbeitungen personenbezogener Daten der Verletzung von Persönlichkeits- und Privatheitsrechten entgegenwirken, dürfte selten der Fall sein. Allenfalls Verarbeitungen, die weitere Verarbeitung verhindern, wie etwa die Aufnahme einer Kennung in eine Sperrliste, sind möglich. Es könnte anzunehmen sein, dass jedes Überlassen von Daten an Dritte pauschal das Risiko für den Betroffenen erhöht.246 Werden Daten aus der Hand gegeben, hat die erhebende Stelle weniger tatsächliche Einflussmöglichkeiten auf ihre Verarbeitung.247 Zudem hatte der Betroffene zum erhebenden Verantwortlichen noch eine direkte Beziehung, während dies für den Dritten nicht gilt. Auf dessen Auswahl hat der Betroffene keinen Einfluss. Dadurch sinken die Chancen einer Einflussnahme des Betroffenen. Es kann hinzukommen, dass der Dritte seinen Sitz im außereuropäischen Ausland hat, wodurch die Schutzmöglichkeiten des Betroffenen weiter geschmälert werden. Durch die Weitergabe an Dritte entsteht daher immer eine Unsicherheit, die als solche der Kompatibilität zur Last fällt.248

245  WP

203, S. 26. 203, S. 26. 247  Vgl. WP 203, S. 63 f. 248  WP 203, S. 26. 246  WP

116

C. Deliktische Haftung

Durch die Verarbeitung zu Sekundärzwecken können auch wirtschaftliche Folgen eintreten, indem etwa Kreditraten beeinflusst werden. Dies ist zu berücksichtigen. Im Einzelfall ist daher zu untersuchen, in welchem Ausmaß positive oder negative Folgen für den Betroffenen auftreten. (ζ) „Garantien“ Für die Vereinbarkeit des Sekundärzwecks ist schließlich die Implementierung von Garantien zu berücksichtigen (Art. 6 Abs. 4 lit. e DS-GVO). Von dem Europäische Datenschutzausschuss werden neben der Anonymisierung und Pseudonymisierung erhöhte Transparenz und die Möglichkeit der konkreten Erteilung oder des Widerrufs einer Einwilligung genannt.249 In jedem Fall sollte der Betroffene über den festgelegten Zweck informiert werden.250 Es können aber noch weitere, nicht näher bestimmte technische und organisatorische Maßnahmen getroffen werden.251 Solche könnten sein, die gesammelten Daten nach ihrer Kategorie zu unterscheiden. Durch die Einziehung technischer Trennmauern, können Weite und Tiefe der Verarbeitung kontrolliert werden. (cc) A  kkumulierung der personenbezogenen Daten für ein Persönlichkeitsprofil als kompatibler Sekundärzweck nach Art. 6 Abs. 4 DS-GVO Will der Verantwortliche schon bei Erhebung Persönlichkeitsprofile erstellen, bestimmt sich die Zulässigkeit der Weiterverarbeitung nach Art. 5 Abs. 1 lit. b HS. 1 DS-GVO und den oben erläuterten Voraussetzungen. Unerheblich ist hier auch, ob die bei Erhebung festgelegten Primärzwecke eindeutig und legitim im Sinne des Art. 5 Abs. 1 lit. b HS. 1 DS-GVO sind. Vielmehr geht es nun nicht um die Frage, ob die Weiterverarbeitung zu dem Primärzweck unzulässig ist, sondern um die Vereinbarkeit des festgelegten Primärzwecks mit einem Sekundärzweck. Im Folgenden werden daher Verarbeitungen von Daten betrachtet, für die nicht bereits die Akkumulierung, Bildung und Verwendung von Persönlichkeitsprofilen als Zweck bei Erhebung festgelegt wurde. Ist die Akkumulierung personenbezogener Daten nur SekundärzweckWeiterverarbeitung, ist zu prüfen, mit welchen Primärzwecken sie im Sinne des Art. 6 Abs. 4 DS-GVO vereinbar ist. In Betracht kommende Primär­ zwecke sind „Werbung“, „Personalisierung“ und „Verbesserung der Nutzererfahrung“. 249  WP

203, S. 26. 203, S. 26. 251  WP 203, S. 27; Monreal, ZD 2016, 507, 511. 250  WP



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO117

(α) Primärzwecke „Verbesserung der Nutzererfahrung“ und „Werbung“ Zwischen den Primärzwecken „Verbesserung der Nutzererfahrung“ und „Werbung“ sowie der Akkumulierung der Daten für ein Persönlichkeitsprofil besteht schon keine Verbindung im Sinne des Art. 6 Abs. 4 lit. a DS-GVO. Schließlich ist, auch aus Sicht eines Verantwortlichen, dessen Geschäftsmodell auf der Verarbeitung von personenbezogenen Daten aufbaut, für den Betroffenen nicht erkennbar, dass so viele seiner Daten gesammelt werden sollen, um ein Persönlichkeitsprofil von ihm zu erstellen. Die Verbesserung der Nutzererfahrung und die Werbung lassen sich auch ohne jede Personalisierung, geschweige denn ein Persönlichkeitsprofil, durchführen. Da schon ein Kriterium nicht vorliegt, ist eine Zweckkompatibilität abzulehnen. (β) Primärzweck „Personalisierung“ Ist bei Erhebung „Personalisierung“ als Zweck festgelegt wurden, besteht zur Akkumulierung eine Verbindung nach Art. 6 Abs. 4 lit. a DS-GVO. Der Betroffene musste erwarten, dass Daten umfangreich gesammelt werden. Dies gilt insbesondere, wenn der Verantwortliche für umfangreiche Datenverarbeitungen bekannt ist. Für die Beurteilung des „Zusammenhangs“ nach Art. 6 Abs. 4 lit. b DSGVO muss ein ausgewogenes Kräfteverhältnis bestehen, dass sich maßgeblich nach der zur Akkumulierung eingesetzten Technik bestimmt. Gespeicherte Cookies kann der Betroffene löschen, Skripte und Plugins können deaktiviert werden. Dafür werden viele Hilfsprogramme angeboten, die auch ohne technisches Vorwissen bedienbar sind. Techniken wie das Sound Beacon oder das Device Fingerprinting führen dagegen regelmäßig zu einem Kraftgefälle, da sie kaum vom Betroffenen erkannt, geschweige denn verhindert werden können. Auch die Daten, die ISPs und Server sammeln, Verkehrs- und Verbindungsdaten, werden außerhalb der Reichweite des Betroffenen verarbeitet. Dies ist zwar technisch nicht vermeidbar, führt bei einer Weiterverarbeitung aber nichtsdestotrotz zu einem ungleichen Kräfteverhältnis. Dienen die personenbezogenen Daten einem Vertragsverhältnis,252 könnte der Erhebungskontext gegen eine Profilerstellung sprechen. Zwar kann gegebenenfalls die Erstellung eines Persönlichkeitsprofils Vertragsgegenstand sein, dann würden die Verarbeitungen aber diesem Zweck als Primärzweck dienen. Es wäre Art. 5 Abs. 1 lit. b HS. 1 DS-GVO einschlägig. Hat der Vertrag etwa die Durchführung von Kaufverträgen zum Gegenstand, besteht 252  Vgl.

WP 203, S. 24.

118

C. Deliktische Haftung

wiederum kein Zusammenhang zu einer Profilerstellung. Ein Vertragsverhältnis kann daher in der Regel nicht mit der Akkumulierung vereinbar sein. Aber auch die generelle Machtstellung des akkumulierenden Unternehmens soll Berücksichtigung finden.253 Programme von Google befinden sich auf fast allen deutschen Webseiten. Zwar ist der Betroffene nicht formell verpflichtet, seine Daten für Persönlichkeitsprofile akkumulieren zu lassen.254 Faktisch kann er sich dem aber nicht entziehen, weil solche und andere Dienste von überragender sozialer und wirtschaftlicher Bedeutung sind. Diese fehlende Transparenz255 und die klare Machtposition sprechen gegen die Annahme einer „Weiterverarbeitung“. Würden solche Unternehmen bei der Akkumulierung personenbezogener Daten jedoch Techniken einsetzen, denen der Betroffene ohne Nachteile oder viel Aufwand widersprechen kann, kann ein Zusammenhang zwischen der Verbesserung ihrer Produkte und der Nutzung ihrer Dienste angenommen werden. Auch sensitive Daten nach Art. 9 Abs. 1 DS-GVO könnten für ein Persönlichkeitsprofil akkumuliert werden. Wurden sie aber für einen anderen Zweck erhoben, ist dieser nach Art. 6 Abs. 4 lit. c DS-GVO mit der Akkumulierung nicht vereinbar. Den Primärzweck sensitiver Daten muss die Akkumulierung daher bereits vorsehen. Die Akkumulierung von personenbezogenen Daten führt zu der Bildung und zur Verwendung eines Persönlichkeitsprofils. Diese könnte Auswirkungen auf die Persönlichkeits- und Privatheitsrechte des Betroffenen haben, was eine Folge im Sinne des Art. 6 Abs. 4 lit. d DS-GVO darstellen könnte. Bildung und Verwendung werden allerdings an entsprechender Stelle untersucht. Die Akkumulierung selbst beeinträchtigt den Betroffenen nicht unmittelbar, sondern höchstens dadurch, dass sie das Potenzial weiterer Verarbeitungen birgt, die ihrerseits den Betroffenen benachteiligen könnten. Ob diese Verarbeitungen durchgeführt werden, hängt allerdings von den Verarbeitungskapazitäten des Verantwortlichen ab oder davon, ob er die akkumulierten Daten entsprechend weiterleitet. Bis zu einer Realisierung des der Akkummulierung innewohnenden Potenzials durch Profilbildung und -verwendung sind noch zwei weitere Schritte nötig. Es ist daher zu abstrakt, um für sich genommen bereits eine negative Folge darzustellen. Es ist festzuhalten, dass der Sekundärzweck „Akkumulierung“ mit dem Primärzweck „Personalisierung“ dann kompatibel im Sinne des Art. 6 Abs. 4 DS-GVO ist, wenn der Betroffene die Akkumulierung tatsächlich verhindern kann, was etwa bei Cookies, Skripten und Plugins der Fall ist. 253  WP

203, S. 24, 56. WP 203, 24; Monreal, ZD 2016, 507, 510. 255  Vgl. WP 203, S. 25. 254  Vgl.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO119

(dd) B  ildung eines Persönlichkeitsprofils als kompatibler Sekundärzweck nach Art. 6 Abs. 4 DS-GVO Hier ist zu untersuchen, welche Primärzwecke mit Profilbildung als Sekundärzweck kompatibel im Sinne des Art. 6 Abs. 4 DS-GVO sind. (α) Primärzwecke „Verbesserung der Nutzererfahrung“ und „Werbung“ Eine „Verbindung“ zwischen Primär- und Sekundärzweck liegt im Sinne des Art. 6 Abs. 4 lit. a DS-GVO vor, wenn letzterer für den Betroffenen erwartbar gewesen ist. Ist der Primärzweck die Verbessung der Nutzererfahrung oder Werbung, ist es zu ihrer Erreichung vielleicht förderlich, aber nicht zwingend erforderlich, ein vollständiges Persönlichkeitsprofil zu bilden. Auch ohne oder mit wenig Personalisierung können die primär verfolgten Ziele erreicht werden. Da Werbung ohne Zugrundelegung eines Persönlichkeitsprofils die Regel sein dürfte, ist dessen Einsatz für den Betroffenen nicht erwartbar. Es liegt also keine „Verbindung“ und damit keine Kompatibilität der Zwecke vor. (β) Primärzweck „Personalisierung“ Zwischen einer ursprünglich beabsichtigten Personalisierung und einer späteren Profilbildung besteht durchaus eine Verbindung. Schließlich geht eine Personalisierung stets damit einher, aus vorhandenen Daten Rückschlüsse zu ziehen. Dies geschieht auch bei der Bildung von Persönlichkeitsprofilen. Für die Bewertung des „Zusammenhangs“ nach lit. b kommt es allerdings auf das Kräfteverhältnis zwischen Verantwortlichen und Betroffenen an. Bei der Bildung von Persönlichkeitsprofilen werden nicht nur vorhandene Daten neu zugeordnet, sondern neue personenbezogene Daten generiert. Dies spielt sich notwendigerweise unter alleiniger Kontrolle des Verantwortlichen ab. Eine Einwirkung des Betroffenen ist weder nötig noch möglich, dafür sind derartige Analysen technisch zu aufwendig. Die Soziologin Zuboff hat dieses Phänomen als „Division of Learning“ bezeichnet.256 Ob die einmal gewonnenen Daten dem Betroffenen bekannt werden und er auf ihre weitere Verarbeitung Einfluss hat, liegt tatsächlich allein in den Händen des Verantwort­ lichen. Das Kräfteverhältnis fällt daher zuungunsten des Betroffenen aus, was gegen die Zweckkompatibilität spricht.

256  Surveillance

Capitalism/Zuboff, S.  483 ff.

120

C. Deliktische Haftung

Gegen die Zweckkompatibilität sprechen noch weitere Gründe. So können die neu generierten Daten sensitiv im Sinne des Art. 9 Abs. 1 DS-GVO sein, weil sie etwa politische Ansichten offenbaren oder Rückschlüsse auf gesundheitliche Bedürfnisse ermöglichen. Die bloße Bildung von Persönlichkeitsprofilen kann für den Betroffenen auch negative Folgen im Sinne des lit. d haben: Sie führt zu einem Informationsungleichgewicht zwischen Verantwortlichem und Betroffenen. Während der Verantwortliche viel über die Persönlichkeit des Betroffenen erfährt, ist dies umgekehrt nicht der Fall. Dies könnte dem Verantwortlichen vielseitige Manipulationen ermöglichen. Dem Verantwortlichen könnten sich Verhaltensmuster offenbaren, die der Betroffene selbst noch nicht einmal kennt.257 Zudem muss ein einmal gebildetes Persönlichkeitsprofil nur noch verwendet werden, um angesichts des Informationsungleichgewichts nicht abschätzbare Nachteile zu realisieren. Hinzu kommt, dass das Vorhandensein eines derart aussagekräftigen Datensatzes die Generierung und Zuordnung weiterer Daten zum Betroffenen zunehmend vereinfacht. Dies erhöht das für ihn unwägbare Risiko. Daher stellt bereits die Bildung eines Persönlichkeitsprofils eine negative Folge dar. Zusammenfassend gilt, dass die Bildung eines Persönlichkeitsprofils als Sekundärzweck nicht kompatibel zum Primärzweck „Personalisierung“ im Sinne des Art. 6 Abs. 4 DS-GVO sein kann. (ee) V  erwendung eines Persönlichkeitsprofils als kompatibler Sekundärzweck nach Art. 6 Abs. 4 DS-GVO Wurde ein Persönlichkeitsprofil zulässigerweise gebildet, etwa in Verfolgung eines Primärzwecks und nicht eines inkompatiblen Sekundärzwecks, stellt sich die Frage, ob die Verwendung von Persönlichkeitsprofilen als ­Sekundärzweck mit Primärzwecken kompatibel im Sinne des Art. 6 Abs. 4 DS-GVO sein kann. (α) Primärzwecke „Verbesserung der Nutzererfahrung“ und „Werbung“ Eine Kompatibilität mit den Primärzwecken „Verbesserung der Nutzererfahrung“ und „Werbung“ scheidet aus, da hier der Betroffene, wie bereits bei der Akkumulierung und Profilbildung, nicht vermuten kann, dass dazu sein Persönlichkeitsprofil eingesetzt werden soll. Sie scheitert an der Verbindung im Sinne des Art. 6 Abs. 4 lit. a DS-GVO.

257  Vgl.

Surveillance Capitalism/Zuboff, S. 834.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO121

(β) Primärzweck „Personalisierung“ Bei der Festlegung von „Personalisierung“ als Primärzweck wird als Verbindung im Sinne des Art. 6 Abs. 4 lit. a DS-GVO deutlich gemacht, dass der Verantwortliche Daten dazu einsetzt, Dienste auf die Persönlichkeit des Betroffenen zuzuschneiden. Dass er hierfür vollständige Profile benutzt, kann der Betroffene jedenfalls grundsätzlich vermuten. Er wird häufig keinen Grund zur Annahme haben, dass die Personalisierung nur auf einem sehr begrenzten Datensatz beruht, weil dadurch die Personalisierung eingeschränkt werden würde. Für die Beurteilung des Zusammenhangs zwischen den Zwecken (Art. 6 Abs. 4 lit. b DS-GVO) ist das Machtverhältnis bei Erhebung Grundlage. Der Erhebungszeitpunkt der Daten, aus denen ein Persönlichkeitsprofil besteht, ist zwar aufgefächert. Schließlich wird es sowohl aus akkumulierten und zugeordneten Daten, wie aus neu generierten Daten gebildet. Dieser Erhebungszeitraum ist von einem Ungleichgewicht der Kräfte geprägt, wie oben dargestellt wurde. Dieser Zusammenhang ist auch bei der Verwendung zu berücksichtigen. Er spricht damit gegen eine Zweckkompatibilität. Insoweit die Folgen der Weiterverarbeitung im Sinne des Art. 6 Abs. 4 lit. d DS-GVO berücksichtigt werden, müssen hierzu solche positiver wie negativer Art zählen. Werden Persönlichkeitsprofile dazu verwendet, dass Nutzererlebnis zu verbessern oder den Betroffenen mit für ihn sinnvollen Informationen zu versorgen, auch wenn diese Werbung darstellen, ist dies eine positive Folge. Dies gilt jedenfalls so lange keine vermeintlichen Bedürfnisse erzeugt werden. Ebenso können Dienstleistungen auf den Betroffenen zugeschnitten werden. Ein Persönlichkeitsprofil könnte auch zu besseren Kreditkonditionen für den Betroffenen führen, falls es eine hohe Kreditwürdigkeit ausweist. Wird die Grenze zur Manipulation überschritten, ihm schlechte Kreditkonditionen gewährt, oder seine politische Meinung beeinflusst, ist dies für ihn eine negative Folge. Es kommt insofern auf den konkreten Verwendungsfall an. Zusammenfassend ist die Profilverwendung als Sekundärzweck wegen des Erhebungszusammenhangs nicht möglich. (ff) Z  wischenergebnis Vereinbarkeit der Verarbeitung nach Art. 6 Abs. 4 DS-GVO Lediglich die Akkumulierung von personenbezogenen Daten aus Cookies, Skripten und Plugins für Persönlichkeitsprofile ist möglich. Bei anderen Erhebungsmethoden ist das Ungleichgewicht zwischen Betroffenem und Verantwortlichem zu unausgewogen. Für die Akkumulierung ausgeschlossen

122

C. Deliktische Haftung

sind daher etwa Daten, die durch ein Sound Beacon oder Device Fingerprinting gewonnen werden. Gleiches gilt bei Verkehrs- und Verbindungsdaten sowie tendenziell bei Daten von Diensten mit großer Marktmacht. Die Bildung eines Persönlichkeitsprofils lässt sich hingegen nicht zum Sekundärzweck bestimmen. Zum einen ist sie für den Betroffenen in aller Regel nicht erwartbar. Zum anderen spielen sich die entsprechenden Datenverarbeitungen außerhalb der tatsächlichen Einwirkungsmöglichkeiten des Betroffenen ab. Auch die Verwendung von Persönlichkeitsprofilen ist kein zulässiger Sekundärzweck, da sich dadurch das unausgewogene Kräfteverhältnis bei Profilbildung fortsetzen würde. (d) Zwischenergebnis „Weiterverarbeitung“ Werden Persönlichkeitsprofile unter den oben genannten Voraussetzungen als Zweck festgesetzt, können die personenbezogenen Daten ihm entsprechend verarbeitet werden. Das ergibt sich aus Art. 5 Abs. 1 lit. b HS. 1 DSGVO. Sind Persönlichkeitsprofile nicht ursprünglicher Verarbeitungszweck, bestimmt sich die Möglichkeit der Weiterverarbeitung zu Persönlichkeitsprofilen nach Art. 6 Abs. 4 DS-GVO. Hiernach ist allein die Akkumulierung personenbezogener Daten aus Cookies, Skripten und Plugins zulässig. Die Bildung und die Verwendung von Persönlichkeitsprofilen als Sekundärzweck sind inkompatibel. (6) Zwischenergebnis Zweckbindungsgrundsatz Persönlichkeitsprofile können ein festgelegter, eindeutiger und legitimer Verarbeitungszweck sein. Er muss bestimmt genug sein und den Betroffenen über wesentliche Elemente aufklären. Das erfordert für die Akkumulierung, die Bildung und die Verwendung eigener Zwecke zu bestimmen. Hierbei sind stets die Besonderheiten des jeweiligen Verarbeitungsabschnitts deutlich zu machen, als auch die folgenden Abschnitte einzubeziehen. Darüber hinaus darf die Profilbildung nicht der automatisierten Einzelfallentscheidung nach Art. 22 Abs. 1 DS-GVO dienen. Wird der Zweck derart bestimmt, steht der Zweckbindungsgrundsatz Persönlichkeitsprofilen nicht entgegen. Wurde eine entsprechende Primärzweckbestimmung nicht getroffen, kann nicht davon ausgegangen werden, dass Bildung und Verwendung einen kompatiblen Sekundärzweck darstellen, die Akkumulierung ist hingegen bei einigen Erhebungsmethoden zulässig.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO123

ee) Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO) In Art. 5 Abs. 1 lit. c DS-GVO ist der Datenminimierungsgrundsatz normiert. Er ist ein „fundamentales Verarbeitungsprinzip“ des europäischen Rechts.258 Die Gefahr einer Beeinträchtigung der Grundrechte und -freiheiten des Betroffenen durch Datenverarbeitung soll dadurch verringert werden, dass der Umfang der Daten minimiert wird.259 Als Grundelement des Datenschutzes ist der Datenminimierungsgrundsatz direkter Ausfluss des Art. 8 Abs. 2 EUGRCharta.260 Er verlangt, dass personenbezogene Daten „dem Zweck angemessen, erheblich und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ sind. Grundlage ist folglich der ausdrücklich bestimmte Primärzweck. Ein derart offener Tatbestand ist stark auslegungsbedürftig. (1) Bezugspunkt der Tatbestandsmerkmale Die drei Tatbestandsmerkmale des Datenminimierungsgrundsatzes sind, die Angemessenheit, die Erheblichkeit und die Beschränkung auf das notwendige Maß. Sie beziehen sich ausdrücklich auf das personenbezogene Datum selbst, nicht aber auf seine Verarbeitung. Dies könnte vor dem Hintergrund, dass sich alle anderen Datenschutzgrundsätze auf die Verarbeitung von Daten beziehen, missverständlich sein. Inwiefern nicht die Verarbeitung, sondern das Datum angemessen sein soll, ist fraglich. Ohne Verarbeitung wirkt der Verantwortliche schließlich auf das Datum nicht ein und kann dies daher auch nicht unangemessen tun. Es könnte daher geboten sein, entgegen dem Wortlaut nicht das Datum selbst, sondern die Datenverarbeitung als Anknüpfungspunkt des Datenminimierungsgrundsatzes zu nehmen. Hierfür spricht zunächst, dass Art. 1 Abs. 1 DS-GVO bestimmt, dass die Verordnung „Vorschriften […] bei der Verarbeitung personenbezogener Daten“ beinhalte. Das umfasst auch den Datenminimierungsgrundsatz. Er könnte danach die Verarbeitung und nicht das Datum selbst zum Gegenstand haben. Die englische Fassung der DS-GVO hat einen abweichenden Inhalt: „Personal data shall be adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed“.261 Art. 5 Abs. 1 lit. c DS-GVO besteht dort aus zwei Satzteilen, deren erster die drei TatbestandsZD 2016, 209, 215. Buchner, DuD 2016, 155, 156. 260  Koch, ITRB 2015, 13, 15. 261  Vgl. Europäische Methodenlehre/Riesenhuber, § 10 Rn. 14 ff. 258  Weichert, 259  Vgl.

124

C. Deliktische Haftung

merkmale nennt. Im zweiten Satzteil werden sie, anders als in der deutschen Fassung, auf die Verarbeitungszwecke und die Verarbeitung bezogen. In der englischen Fassung ist also die Verarbeitung, nicht das Datum selbst, Gegenstand des Datenminimierungsgrundsatzes. Sie ist Arbeitsgrundlage gewesen, welche wohl ungenau übersetzt wurde. Schließlich geht auch ErwG. 39 S. 8 ff. DS-GVO nicht von Daten aus, sondern von Verarbeitungen. Danach soll die Speicherfrist, ein Verarbeitungsvorgang, auf das notwendige Maß beschränkt sein. Für den Datenminimierungsgrundsatz sind daher, trotz des Wortlauts, nicht Daten, sondern Verarbeitungen der Bezugspunkt. (2) Verhältnis zum Zweckbindungsgrundsatz Wie auch der Zweckbindungsgrundsatz, hat der Datenminimierungsgrundsatz den Zweck der Verarbeitung zum Gegenstand.262 Diese Nähe erfordert eine Abgrenzung. Bei der Setzung von Normen ist prinzipiell davon auszugehen, dass der Verordnungsgeber einen Systembildungswillen hat, dessen Prinzipien die einzelnen Normen untereinander verbindet.263 Dem Datenminimierungsgrundsatz muss daher neben dem Zweckbindungsgrundsatz eine eigene Bedeutung zukommen. Das bedeutet, kumulativ weitere Grenzen der Verarbeitung aufzuzeigen, die sich von denen der Zweckbindung sowie der Rechtmäßigkeitsbindung unterscheiden. Es könnte daher anzunehmen sein, dass sich der Zweckbindungsgrundsatz mit der Zweckbestimmung einzelner Verarbeitungen beschäftigt, wohingegen der Datenminimierungsgrundsatz auf Big Data-Verarbeitungen zielt. Der Datenminimierungsgrundsatz könnte fragen, ob, in Anbetracht der Menge an Daten, die Zuordnung eines Datums tatsächlich angemessen, erheblich und innerhalb des notwendigen Maßes ist. Welche Richtung der Datenminimierungsgrundsatz nimmt, soll eine Auslegung seines Tatbestandes zeigen. (3) Tatbestandsmerkmal „angemessen“ (a) Anforderungen des Angemessenheitsmerkmals Laut dem ersten der drei Tatbestandsmerkmale des Art. 5 Abs. 1 lit. c DSGVO muss die Verarbeitung eines personenbezogenen Datums „angemessen“ sein. Was Angemessenheit bedeutet und inwiefern es sich von den anderen Merkmalen unterscheidet, ist erörterungsbedürftig. Sicher ist indes, dass sich 262  Vgl.

Weichert, ZD 2013, 251, 256. Methodenlehre/Riesenhuber, § 10 Rn. 22.

263  Europäische



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO125

die drei Tatbestandsmerkmale unterscheiden müssen. Hätte die Verordnung nur eine einzige Prüfung gewollt, hätte sie nur ein Merkmal genannt. (aa) Ansicht der Literatur Es soll bereits ausreichen, wenn irgendein Bezug zwischen der Verarbeitung und ihrem Zweck besteht.264 Teilweise wird verlangt, dass die Zuordnung eines Datums zu einem Zweck nicht beanstandet werden soll.265 Dies soll dann der Fall sein, wenn die Daten für diesen Zweck erforderlich sind.266 Damit würde das Merkmal „angemessen“ mit dem Merkmal „erforderlich“ ausgetauscht, was abzulehnen ist. Nach einer anderen Ansicht sollen Verarbeitungen angemessen sein, wenn die Daten relevant sind.267 Eine Begründung findet sich für die oben genannten Auffassungen nicht. Es wird lediglich darauf verwiesen, dass die „Distanz der Beurteilung“ sicherzustellen sei. Was erforderlich sei, werde nämlich in legitimer Weise von Perspektive und Partei je unterschiedlich beurteilt.268 Schließlich wird vertreten, dass wertend-normativ festzustellen sei, ob eine Verarbeitung im Einzelfall zur Zweckerreichung unangebracht ist.269 Was hierunter, insbesondere in Abgrenzung zu den anderen Tatbestandsmerkmalen, zu verstehen ist, bleibt ­offen. Schließlich soll eine Verarbeitung angemessen sein, wenn sie verhältnismäßig sei, was objektiv zu beurteilen sei.270 Warum es hier auf die Verhältnismäßigkeit ankomme, obwohl dieser Begriff keinen Eingang in den Verordnungswortlaut gefunden hat, wird nicht erörtert. (bb) Wortlautauslegung Der in der Literatur verlangte Begriff der „Erforderlichkeit“ ist indes an eine Unabdingbarkeit geknüpft. Das bedeutet, dass er nicht hinweggedacht werden kann, ohne dass der Erfolg entfiele. Dies lässt sich nur objektiv beurteilen, ohne Raum für die Einschätzung des Verantwortlichen zu lassen. Dies entspricht dem Merkmal des notwendigen Maßes. Daher wäre es von diesem kaum, wenn überhaupt, zu unterscheiden. Die Merkmale der Angemessenheit und der Beschränkung auf das notwendige Maß gleichzusetzen, 264  Kühling/Buchner

DS-GVO/Herbst, Art. 5 Rn. 57. DSRL/Dammann, Art. 6 Erl. 11; Paal/Pauly DS-GVO/Fren-

265  Dammann/Simitis

zel, Art. 5 Rn. 35. 266  Paal/Pauly DS-GVO/Frenzel, Art. 5 Rn. 35. 267  Ehmann/Helfrich DSRL/Ehmann/Helfrich, Art. 6 Rn. 21. 268  Paal/Pauly DS-GVO/Frenzel, Art. 5 Rn. 35. 269  Spindler/Schuster DS-GVO/Spindler/Dalby, Art. 5 Rn. 12. 270  BeckOK DatenSR DS-GVO/Schantz, Art. 5 Rn. 26.

126

C. Deliktische Haftung

nähme ihnen die eigenständige Bedeutung und damit ihren „effet utile“. Das Merkmal der Erforderlichkeit, für die Prüfung der Angemessenheit, ist daher abzulehnen. Hingegen ist das Merkmal der Relevanz mit einer subjektiven Prüfung nicht vereinbar und kann nicht für die Auslegung des Angemessenheitsbegriffs herangezogen werden, da die Relevanz im Wortsinn objektiv zu beurteilen ist. Die Literaturmeinungen werden nur teilweise vom Wortlaut gestützt. Bei der Auslegung des Wortlauts ist zunächst die Stellung der Wörter im Satz­ gefüge, der Satzzusammenhang, zu berücksichtigen.271 Nach diesem muss die Verarbeitung nicht nur angemessen, sondern auch erheblich und auf das notwendige Maß beschränkt sein. Dass mehrere Begriffe verwendet werden, könnte dazu dienen, dass mehrere Prüfmaßstäbe anzulegen sind. Die Erheblichkeit und das notwendige Maß sind objektiver Natur. Dagegen soll das Tatbestandsmerkmal „angemessen“ die Prüfung des Datenminimierungsgrundsatzes aus subjektiver Sicht ermöglichen. Eine Zuordnung kann nicht angemessen sein, wenn sie noch nicht einmal aus Sicht des Verantwortlichen vertretbar ist. Andernfalls würde die Rechtsordnung dem Verantwortlichen das Datum gewissermaßen „aufdrängen“. Aber auch die Zulässigkeit der subjektiven Zuordnung hat Grenzen. Es können nicht solche Zuordnungen vertretbar sein, die der Verantwortliche willkürlich vornimmt. Mithin ist eine Verarbeitung dann angemessen, wenn die Zuordnung des Datums zu einem Zweck aus Sicht des Verantwortlichen vertretbar ist. Nicht vertretbar sind insbesondere willkürliche Zuordnungen. (cc) Auslegung nach Sinn und Zweck Nach Art. 1 Abs. 1 HS. 2, Abs. 3 DS-GVO soll der Datenverkehr möglichst frei sein. Hierbei handelt es sich um ein Ziel, welches mit dem des Schutzes des Betroffenen nach Art. 1 Abs. 1 HS. 1 DS-GVO in einem Zielkonflikt steht. Dieser wird auch vom Datenminimierungsgrundsatz aufgegriffen. Mit dem Merkmal „angemessen“ wird zunächst dem Verantwortlichen das Entscheidungsprärogativ überlassen, indem die Verarbeitung aus seiner Sicht vertretbar erscheinen muss. Eine Einschränkung der Verarbeitung erfolgt hingegen hauptsächlich über die Merkmale „erheblich“ und „notwen­ dige[s] Maß“.

271  Europäische Methodenlehre/Riesenhuber, § 10 Rn. 21; Honsell, ZfPW 2016, 106, 120.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO127

(dd) Auslegung nach der Systematik Der Begriff der Erforderlichkeit fällt in der Verordnung häufig, etwa in den Erlaubnissätzen der Art. 6 Abs. 1 lit. b und f DS-GVO sowie in Art. 11 DS-GVO über eine „Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist“. Dass er beim Datenminimierungsgrundsatz in Art. 5 Abs. 1 lit. c DS-GVO nicht vorkommt, muss zur Annahme führen, dass hier keine Erforderlichkeitsprüfung durchzuführen ist. Er hat einen anderen Maßstab als den der Erforderlichkeit. (ee) Zusammenfassung der Auslegungsergebnisse Der Wortlaut erfordert, „angemessen“ subjektiv auszulegen. Das bedeutet, dass der Verantwortliche selbst das Datum dem Zweck zugeordnet haben muss und diese Zuordnung vertretbar, also insbesondere nicht willkürlich ist. Die objektiv zu beurteilende Erforderlichkeit kann hier keine Rolle spielen. Die teleologische Auslegung verlangt einen Ausgleich zwischen dem freien Datenverkehr und den Grundfreiheiten und -rechten des Betroffen. Dieser wird hergestellt, wenn die Zuordnung zwar einer Prüfung zugänglich ist, gleichzeitig aber das Entscheidungsprärogativ dem Verantwortlichen belassen wird. Bei der Auslegung des historischen Verordnungsgeberwillens wird deutlich, dass die Zulässigkeit der Zuordnung nicht mit der Prüfung von Erforderlichkeit oder Relevanz der Daten gleichgesetzt werden darf. Daraus ergibt sich, dass die Zuordnung eines Datums zu einem bestimmten Zweck dann angemessen ist, wenn sie vom Verantwortlichen vertretbar vorgenommen wurde, was zuvorderst bedeutet, dass sie nicht willkürlich erfolgt. (b) Akkumulierung der Daten für ein Persönlichkeitsprofil als „angemessen“ Zu prüfen ist, ob die Akkumulierung der Daten für ein Persönlichkeitsprofil „angemessen“ im Sinne des Datenminimierungsgrundsatzes nach Art. 5 Abs. 1 lit. c DS-GVO ist. Der in Frage stehende Zweck, dem die Daten zugeordnet werden sollen, ist hier lediglich die Akkumulierung und nicht etwa die Bildung oder Verwendung von Persönlichkeitsprofilen. Aus der subjektiven Sicht des Verantwortlichen ist die Zuordnung jedes personenbezogenen Datums zur Akkumulation vertretbar. Schließlich ist die Zuordnung möglichst vieler Daten Ziel der Akkumulation. Prinzipiell alle Daten zu einer Person sind von Bedeutung. Denn je umfangreicher die Daten erhoben werden können, desto aussagekräftiger ist ein späteres Profil der Persönlichkeit. Sogar nicht-personenbezogene Daten können zugeordnet werden, weil sie durch die

128

C. Deliktische Haftung

Analyse und Kombination mit anderen Daten einen Personenbezug herstellen lassen könnten. Die Zuordnung möglichst vieler Daten ist daher auch nicht willkürlich. (c) Bildung von Persönlichkeitsprofilen als „angemessen“ Für den Zweck der Bildung eines Persönlichkeitsprofils müsste die Verarbeitung von personenbezogenen Daten ebenfalls angemessen sein. Gegenstand der Angemessenheitsprüfung ist dann die Verarbeitung personenbezogener Daten zur Bildung eines Persönlichkeitsprofils. Wie bei der Akkumulation gilt auch bei der Profilbildung, dass jedes Datum, welches in die Bildung des Persönlichkeitsprofils der betroffenen Person einfließt, das Profil aussagekräftiger macht und es bereichert. Die Zuordnung von Daten zum Bildungszweck kann daher kaum willkürlich sein. Weil alle Verarbeitungen für Persönlichkeitsprofile gleichermaßen wichtig sind, ist eine Hierarchisierung nicht möglich. Es kann nicht davon ausgegangen werden, dass eine bestimmte Verarbeitung eines einzelnen Datums mehr von der Persönlichkeit der betroffenen Person freigibt als eine andere. Daher müssen alle Daten, deren Verarbeitung für die Akkumulierung angemessen ist, auch für die Bildung des Persönlichkeitsprofils als angemessen gelten. (d) Verwendung von Persönlichkeitsprofilen als „angemessen“ Hier ist zu prüfen, ob die Verwendung von Persönlichkeitsprofilen „angemessen“ im Sinne des Datenminimierungsgrundsatzes ist. Ein Persönlichkeitsprofil zu verwenden, bedeutet neu generierte und zugeordnete Daten ebenso wie die alten, akkumulierten Daten zusammenzuführen und weiter zu verarbeiten. Bei Betrachtung der Verarbeitungsschritte lässt sich nicht ausmachen, welche Verarbeitungen subjektiv vertretbar sein könnten. Die Verarbeitungsschritte sind das Auslesen, Abfragen, Verwenden oder Offenlegen.272 Von ihnen kann aber nicht abstrakt auf die Relevanz der verarbeiteten Daten geschlossen werden, weil sie, jedenfalls nicht allgemeingültig feststellbar, unterschiedlich viel über den Betroffenen preisgeben. Für die Bewertung der Angemessenheit könnte aber entscheidend sein, um welche Art von Daten es sich handelt. Die Zuordnung bestimmter Datenarten könnte nicht subjektiv vertretbar sein. Soll das Persönlichkeitsprofil etwa für Werbung eingesetzt werden, könnte die Zuordnung von Daten, die sich für die Bestimmung von Score-Werten oder dem Voter Targeting eignen, willkürlich sein. Dem widerspricht, dass eine solche Trennung nicht möglich ist. 272  Siehe

oben Abschnitt C.I.1.b)cc).



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO129

Aus Werbedaten lassen sich etwa auch Erkenntnisse über politische Neigungen gewinnen, wenn sie beispielsweise wiedergeben, wie intensiv sich der Betroffene mit eindeutig politischen Waren, beispielsweise Bücher, Medieninhalten, Flaggen politischer Bewegungen, auseinandergesetzt hat. Ebenso könnten Daten über ein extensives Kaufverhalten nicht nur für Bestands­ kundenwerbung, sondern auch für die Bewertung der finanziellen Sicherheit bedeutsam sein. Der Vorteil eines Profils der gesamten Persönlichkeit liegt gerade in der Verwendung von zusammenhängenden personenbezogenen Daten, die traditionelle Datensätze nicht aufweisen. Insofern kann keine Zuordnung von Daten zu einem Persönlichkeitsprofil als willkürlich angesehen werden. (4) Tatbestandsmerkmal „erheblich“ (a) Anforderungen des Erheblichkeitsmerkmals Personenbezogene Daten müssen für ihren Zweck erheblich sein. Dies verlangt das zweite der drei Tatbestandsmerkmale des Datenminimierungsgrundsatzes des Art. 5 Abs. 1 lit. c DS-GVO. (aa) Ansicht der Literatur Nach in der Literatur vertretenen Ansichten soll das Merkmal der Erheblichkeit nur auf solche Daten anwendbar sein, die bereits als für ihren Zweck angemessen eingestuft wurden.273 Ob ein Datum „erheblich“ ist, sei allein objektiv zu bestimmen.274 Teilweise soll es sich bei der Prüfung der Erheblichkeit um die erste,275 teilweise um die zweite Ebene des Datenminimierungsgrundsatzes handeln.276 Weil insbesondere eine Beschaffung auf Vorrat vom Datenminimierungsgrundsatz ausgeschlossen sein soll,277 soll der für die objektive Bestimmung der Erheblichkeit maßgebliche Zeitpunkt mit der Verarbeitung zusammenfallen. Eine Datenverarbeitung könne nicht nachträglich erheblich sein. Wann sie überhaupt erheblich ist, wird von den Literaturmeinungen nicht weiter ausgeführt. Dies liegt auch daran, dass eine Aufteilung der Tatbestandsmerkmale in verschiedene Prüfungsstufen häufig nicht vollzogen wird. Es wird eher eine Beschränkung auf das notwendige Maß betont, ohne dass auf die Möglichkeit einer abgestuften Prüfung eingegangen 273  Paal/Pauly

DS-GVO/Frenzel, Art. 5 Rn. 36. DS-GVO/Frenzel, Art. 5 Rn. 36. 275  BeckOK DatenSR DS-GVO/Schantz, Art. 5 Rn. 24. 276  Paal/Pauly DS-GVO/Frenzel, Art. 5 Rn. 36. 277  Ehmann/Helfrich DSRL/Ehmann/Helfrich, Art. 6 Rn. 23. 274  Paal/Pauly

130

C. Deliktische Haftung

wird.278 Inhaltlich soll eine Verarbeitung erheblich sein, wenn sie im Sinne des Verhältnismäßigkeitsgrundsatzes zur Erreichung eines legitimen Ziels geeignet ist.279 Gegen die Übertragung des Verhältnismäßigkeitsgrundsatzes spricht allerdings, dass entsprechende Terminologie in Art. 5 Abs. 1 lit. c DSGVO nicht verwendet wird. (bb) Wortlautauslegung Nach seinem Wortlaut bedeutet Erheblichkeit, dass das Datum für den Zweck, dem es zugeordnet ist, von gesteigerter Bedeutung, also besonders relevant ist. Das kann nicht für jedes Datum gelten, notwendigerweise werden manche ausgeschlossen. Es muss daher versucht werden zu bestimmen, welche Daten von ausreichend gesteigerter Bedeutung sind und welche nicht. Dies kann anhand der einzelnen Daten, der Datenkategorien, den Verarbeitungsvorgängen oder der letztendlichen Verwendung des Persönlichkeitsprofils untersucht werden. Von besonderer Relevanz sind jedenfalls solche Daten, die unabdingbar für den Zweck der Verarbeitung sind. Zur Feststellung könnte sich die Anwendung der „conditio sine qua non“-Formel anbieten: Kann das Datum nicht hinweggedacht werden, ohne dass der Zweck unerreichbar werden würde, ist es für diesen erheblich. Damit würde allerdings die „gesteigerte Bedeutung“ auf eine absolute Notwendigkeit reduziert werden. Dies ist nicht nur mit dem Wortsinn von „erheblich“ unvereinbar, sondern greift auch in den Anwendungsbereich des dritten Tatbestandsmerkmals des notwendigen Maßes über. Wären nur solche Datenverarbeitungen erheblich, ohne die der Verarbeitungszweck schlichtweg unrealisierbar ist, wäre eine Beschränkung auf das notwendige Maß überflüssig. Jede erhebliche Verarbeitung wäre notwendig. Gemessen am norminternen Wortlaut sollte dem Tatbestandsmerkmal der Erheblichkeit vielmehr die Rolle zukommen, die subjektive Angemessenheitsprüfung um eine objektive Prüfung zu erweitern. Wo die Angemessenheit die Zuordnung subjektiv prüft, wird sie im Rahmen der Erheblichkeit objektiv untersucht.

278  Dammann/Simitis DSRL/Dammann, Art. 6 Erl. 11; Pollmann/Kipker, DuD 2016, 378, 380; Weichert, ZD 2016, 209; 215; WP 223, S. 16. 279  BeckOK DatenSR DS-GVO/Schantz, Art. 5 Rn. 24; Spindler/Schuster DSGVO/Spindler/Dalby, Art. 5 Rn. 12.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO131

(cc) Auslegung des historischen Gesetzgeberwillens Bei der historischen Auslegung sind primär die Erwägungsgründe der Verordnung maßgeblich. ErwG. 39 S. 8 ff. DS-GVO enthält keine Aussagen des Verordnungsgebers, die das Erheblichkeitsmerkmal mit Inhalt füllen würden. ErwG. 39 S. 9 DS-GVO hebt zwar hervor, dass insbesondere die Speicherung von Daten auf das „unbedingt erforderliche Mindestmaß“ beschränkt sein soll. Es ist aber nicht ersichtlich, dass gerade das Erheblichkeitsmerkmal mit dem „unbedingt erforderlichen Mindestmaß“ identisch sein sollte. Vielmehr könnte es auch zur Auslegung anderer Tatbestandsmerkmale wie dem des notwendigen Maßes herangezogen werden. Dasselbe gilt für ErwG. 39 S. 10, wonach eine Verarbeitung nicht erfolgen soll, „[…] wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann.“ Auf vergleichbare Weise drückte der Kommissionsentwurf in ErwG. 30 S. 3 DS-GVO-E-KOM aus, dass die Merkmale des Datenminimierungsgrundsatzes insbesondere einer Erfassung unverhältnismäßig vieler Daten entgegenstehen. Er unterlässt es aber, diese Anforderungen mit dem Merkmal der Erheblichkeit zu verknüpfen. Ohnehin ist klärungsbedürftig, was genau Unverhältnismäßigkeit konstituieren würde. Die historische Auslegung hält daher keine weitere Erkenntnis bereit. (dd) Auslegung nach Sinn und Zweck Art. 5 Abs. 1 lit. c DS-GVO dient dem Schutz der personenbezogenen Daten natürlicher Personen. Das ergibt sich aus Art. 1 Abs. 1, 2 DS-GVO und Art. 8 Abs. 1 EUGRCharta sowie Art. 16 Abs. 1 EUV. Das Erheblichkeitsmerkmal ist daher möglichst betroffenenfreundlich auszulegen. Eine betroffenenfreundliche Auslegung bedeutet eine strenge Auslegung. Dies entspricht dem Ergebnis der Wortlautauslegung, wonach Daten besonders relevant sein müssen. (ee) Zusammenfassung der Auslegungsergebnisse Nach der Auslegung des Wortlauts sind Daten erheblich, wenn sie besonders relevant beziehungsweise von gesteigerter Bedeutung sind. Grundlage hierfür sind die einzelnen Daten, die Datenkategorien, die Verarbeitungsvorgänge und das Verwendungsziel. Eine Anwendung der „conditio sine qua non“-Formel ist nicht angebracht, um den Wortsinn nicht zu beschneiden und um das dritte Tatbestandsmerkmal des Art. 5 Abs. 1 lit. c DS-GVO, die „Beschränkung auf das notwendige Maß“ nicht leerlaufen zu lassen.

132

C. Deliktische Haftung

(b) Akkumulierung der Daten für ein Persönlichkeitsprofil als „erheblich“ Die Erheblichkeit, also die besondere Relevanz der Daten für ihren Zweck, lässt sich entweder anhand des einzelnen Datums, der Datenkategorie, dem Verarbeitungsvorgang oder dem weiterführenden Verwendungszweck des Persönlichkeitsprofils bestimmen. (aa) Besondere Relevanz einzelner Daten für die Akkumulierung Die verschiedenen akkumulierten Daten könnten in verschiedenem Maße für das Persönlichkeitsprofil relevant sein. Beispielsweise ist der Inhalt einer persönlichen E-Mail ein personenbezogenes Datum und kann viel von der Persönlichkeit des Betroffenen preisgeben. Hingegen weist ein Verbindungsdatum nur einen sehr losen Zusammenhang mit der betroffenen Person auf und könnte daher als nicht besonders relevant angesehen werden. Dies gilt aber nur, solange es bei der Akkumulierung eines einzelnen Verbindungsdatums bleibt. Durch die Sammlung mehrerer Verkehrsdaten, wie etwa zu Webseiten-Aufrufen, lässt sich beispielsweise erkennen, wann die betroffene Person zu Hause ist, woraus ein Bewegungsprofil erstellt werden kann, welches wiederum für ein Persönlichkeitsprofil besonders relevant ist. Darüber hinaus vor allem aber auch, was sie interessiert und womit sie sich offenbar mehr oder auch weniger beschäftigt. Daher ist zwar das Einfließenlassen einzelner Verkehrsdaten in ein Persönlichkeitsprofil nicht erheblich, die Verarbeitung mehrerer Verkehrsdaten ist es aber durchaus. Die Akkumulierung von Verkehrsdaten führt damit regelmäßig zur besonderen Relevanz von Verkehrsdaten. Nur wenn im Einzelfall ausgeschlossen wäre, dass eine für eine Analyse ausreichende Menge von Verkehrsdaten gesammelt werden würde, wären die einzelnen Verkehrsdatenverarbeitungen unerheblich. Dies ist allerdings nicht von praktischer Bedeutung. Zusammenfassend sind Daten dann besonders relevant, wenn sie in ausreichend großer Menge verarbeitet werden, um Erkenntnisse über die Persönlichkeit generieren zu können. (bb) Besondere Relevanz von Datenkategorien für die Akkumulierung Neben der Datenmenge könnte sich die besondere Relevanz auch aus der Art von Daten ergeben. Akkumuliert werden für ein Persönlichkeitsprofil etwa Bestandsdaten, Verbindungs- und Kommunikationsdaten, sowie Nutzungs-, Sach- und Inhaltsdaten. Während Bestandsdaten statische Kontakt­ informationen sind, geben Kommunikationsdaten Aufschluss über die Umstände der jeweiligen Kommunikation des Betroffenen. Der Unterschied



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO133

zwischen Kommunikations- und Bestandsdaten liegt darin, dass Letztere sich selten ändern und dass sie mehrere Kommunikationswege eröffnen. Etwa erlaubt die Postanschrift nicht nur die Festnetz-Telefonnummer und theoretisch über den Anbieter auch die Mobilfunknummer oder die E-Mail-Adresse ausfindig zu machen, sondern auch die postalische oder persönliche Kommunikation. Sie lassen aber weder erkennen wie der Betroffene kommuniziert noch wie sich sein Kommunikationsverhalten verändert. Daher kann nicht ausgemacht werden, ob Bestandsdaten relevanter wären als Kommunika­ tionsdaten. Inhaltsdaten sind solche, die den Inhalt der Kommunikation abbilden, Sachdaten geben die Interaktion des Betroffenen mit Sachen wieder. Hierunter fallen etwa Fahrzeugdaten, SmartTV-Daten oder Daten über die Nutzung von Smartphones. Von welcher Bedeutung diese Daten für ein Persönlichkeitsprofil sind, hängt davon ab, wie intensiv die betroffene Person Sachen benutzt, die Daten produzieren. Fährt sie etwa nur einmal im Monat mit einem Auto, was beispielsweise aus dem Bordcomputer oder der Verwendung von Navigations-Apps auf einem Smartphone hervorgehen kann, sagt dies wenig über die Mobilität aus. Schließlich könnte die betroffene Person auch Fortbewegungsmittel nutzen, die grundsätzlich keine auf sie bezogene Sachdaten generieren, wie etwa der öffentliche Nahverkehr oder das Fahrrad. Inhaltsdaten können ihrerseits alle Lebensbereiche der Person betreffen und dementsprechend sowohl essenzielle als auch belanglose Aussagen über ihre Persönlichkeit treffen. Ein abstrakter, unterschiedlicher Aussagegehalt, der an den Datenkategorien festgemacht werden könnte, ist auch hier nicht erkennbar. Wenn die Relevanz eines Datums für die Akkumulierung zwar nicht an der bloßen Zugehörigkeit zu einer Datenkategorie festgemacht werden kann, sind vielleicht weitere Kriterien heranzuziehen. Diese könnten ihr Umfang, ihre Aktualität, ihre Außergewöhnlichkeit oder ihr Wahrheitsgehalt sein. Es sind Eigenschaften, die Big Data-Anwendungen zugesprochen werden. Diesem Verfahren bedient sich auch das Persönlichkeitsprofil, weshalb es eine Big-Data-Anwendung darstellt.280 Damit sind solche Datenkategorien, die für Big Data-Anwendungen weniger bedeutsam sind, auch als weniger relevant für Persönlichkeitsprofile einzustufen. Nutzerdaten und Inhaltsdaten treffen eine unmittelbare, für jeden verständliche Aussage über den Betroffenen und haben daher einen hohen Wahrheitsgehalt. Sachdaten zeichnen sich durch ihre Außergewöhnlichkeit aus, da sie allgegenwärtig das Interagieren des Betroffenen mit Gegenständen und damit auch Teile seines Verhaltens wiedergeben, welche nicht primär der Kommunikation unterfallen. Nutzungs-, Verkehrs-, Verbindungs-, Rand- und Mikrodaten ermöglichen insbe280  Siehe

oben Abschnitt B.V.

134

C. Deliktische Haftung

sondere das Treffen zeitnaher Aussagen. Jede für ein Persönlichkeitsprofil benutzte Datenkategorie kann Big Data-Merkmalen zugeordnet werden. Alle zu akkumulierenden Daten haben für das Persönlichkeitsprofil als Big DataAnwendung einen Wert und sind relevant. Als Daten besonderer Art nennt Art. 9 Abs. 1 DS-GVO sensitive Daten. Darunter fallen Daten über Herkunft, Meinungen, Überzeugungen, Gewerkschaftszugehörigkeit, Genetik, Biometrik, Gesundheit und Sexualleben und sexuelle Überzeugung. Das sind Daten mit „identitätsstiftendem Charakter“,281 sie haben also einen erhöhten Aussagegehalt bezüglich der betroffenen Person. Somit sind sie für eine Abbildung der Persönlichkeit gerade besonders relevant. In welchem Umfang sie dem Profil zufließen dürfen, ist eine Frage der Beschränkung auf das „notwendige Maß“ und wird daher unten behandelt. Zusammenfassend kann keine Datenkategorie als wenig relevant für die Akkumulierung ausgemacht werden. Vielmehr leisten alle Kategorien einen Beitrag zur Entstehung des Persönlichkeitsprofils. (cc) B  esondere Relevanz von Verarbeitungsvorgängen für die Akkumulierung Möglicherweise lässt sich die Relevanz der Daten nicht anhand ihres Verarbeitungsvorgangs bestimmen. Die Akkumulations-Stufe umfasst neben dem Erheben das Erfassen, Speichern, Übermitteln und Bereitstellen personenbezogener Daten. So könnten Daten, die gezielt erhoben oder übermittelt werden, relevanter sein als solche, die z. B. zu einfachen Abrechnungszwecken erfasst oder gespeichert werden. Maßstab für die Relevanz ist aber die Förderung des Zwecks der Verarbeitung, nämlich der Akkumulierung. Dieser Zweck wird durch jeden Verarbeitungsvorgang realisiert. Vielleicht ließe sich in einem konkreten Fall eine unterschiedlich hohe Relevanz ausmachen, abstrakt ist dies aber nicht möglich. Darüber hinaus werden die Verarbeitungsprozesse auch in Art. 4 Nr. 2 DS-GVO ohne jegliche Hierarchisierung aufgeführt. Es lässt sich keiner Norm der DS-GVO entnehmen, dass einige Verarbeitungen relevanter wären als andere. (dd) B  esondere Relevanz bei festgelegtem Verwendungszweck des Persönlichkeitsprofils für die Akkumulierung Eine Unterscheidung der Relevanz der Verarbeitungen personenbezogener Daten könnte möglich werden, wenn die weitere Verwendung des Persön281  Paal/Pauly

DS-GVO/Frenzel, Art. 9 Rn. 6.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO135

lichkeitsprofils betrachtet wird. Als weitere Verwendung kommen etwa Werbung, Scoring oder Voter Targeting infrage. Sind sie als weitere Verwendungszwecke bestimmt, könnten sie Maßstäbe für die Beurteilung der Relevanz eines zu akkumulierenden Datums darstellen. Allerdings wird auch hier die Relevanz akkumulierter Daten für diese Ziele erst mit ihrer Analyse deutlich. Die Analysemöglichkeiten steigern sich stetig, zum einen wegen des technischen Fortschritts, vor allem aber wegen der zunehmenden Datenmenge. Das bedeutet, dass für die Verwendung des Persönlichkeitsprofils jedes akkumulierte Datum besonders relevant sein kann, sich dies aber nur im Einzelfall untersuchen lässt. Hinzu kommt, dass dasselbe Datum für verschiedene Ziele eine entscheidende Bedeutung haben kann. Daher lässt auch die spätere Verwendung der Persönlichkeitsprofile eine Beurteilung der besonderen Relevanz von Akkumulierungsvorgängen auf einer abstrakten Ebene nicht zu. (ee) Zusammenfassung der Akkumulierung als „erheblich“ Da die Akkumulierung eine Datenverarbeitung im großen Umfang darstellt, ist sie stets „erheblich“ im Normsinne. Weder mit Blick auf die Datenkategorie noch auf einzelne Verarbeitungsvorgänge noch auf festgelegte Verwendungszwecke lassen sich einzelne Akkummulierungsvorgänge als unerheblich einordnen. (c) Bildung von Persönlichkeitsprofilen als „erheblich“ Hier ist zu prüfen, inwiefern die Verarbeitung von Daten für die Bildung von Persönlichkeitsprofilen besonders relevant ist. Alle Daten, die akkumuliert und dann zusammengefügt werden, können viel über die betroffene Person aussagen. Konnte bereits bei der Akkumulierung festgetellt werden, dass kein Datum als unerheblich auszuschließen ist,282 gilt dies auch bei der Bildung von Persönlichkeitsprofilen. Jede neue Generierung und jede neue Zuordnung personenbezogener Daten kann unmittelbar die Aussagekraft des Persönlichkeitsprofils erhöhen. Mittelbar kann jedes Datum seinerseits ausgewertet werden und einer weiteren Fortbildung des Profils dienen. Dies gilt gleichermaßen für jede Datenkategorie. Die Profilbildung besteht aus den Verarbeitungsvorgängen des Organisierens, Ordnens, Speicherns, Auslesens und Verknüpfens der akkumulierten Daten.283 Jeder dieser Vorgänge stellt eine Analyse dar, die neue Erkenntnisse über die Persönlichkeit der betroffenen natürlichen Person hervorbringen kann. Weil mit einem Persönlichkeits282  Siehe 283  Siehe

oben Abschnitt C.I.1.c)ee)(4)(b)(ee). oben Abschnitt C.I.1.b)bb).

136

C. Deliktische Haftung

profil jedes Ziel besser verfolgt werden kann, je umfangreicher es gebildet ist, können auch unter Einbeziehung des Verwendungszwecks bestimmte Verarbeitungen bestimmter Daten nicht als unerheblich abgetan werden. Daher wohnt auch den verschiedenen Verarbeitungsvorgängen keine Hierarchie inne, nach der manche weniger relevant wären als andere. Zusammenfassend können keine Daten als nicht besonders relevant für die Bildung von Persönlichkeitsprofilen ausgeschlossen werden. (d) Verwendung von Persönlichkeitsprofilen als „erheblich“ Prinzipiell kann jedes Verarbeitungsziel besser erreicht werden, wenn jedes in einem Persönlichkeitsprofil enthaltene Datum und jede Datenkategorie eingesetzt werden. Es ist auch kein Verarbeitungsvorgang auszumachen, der nicht relevant wäre. Auch hier stellt sich die Frage, ob eine Trennung von nicht-relevanten Daten anhand des Verwendungsziels vorgenommen werden könnte. Um beispielsweise gezielte Werbung schalten zu können, könnte es nicht zwingend notwendig sein, die Verbindungsdaten aller Endgeräte einer natürlichen Person zu haben oder alle sie betreffende Inhaltsdaten und Sachdaten auszuwerten. Es hilft aber durchaus. Werbung lässt sich „noch“ gezielter schalten, wenn das Nutzungsverhalten eines jeden Gerätes des Betroffenen bekannt ist und wenn analysiert wird, über welche Produkte der Betroffene sich unterhält. Sogar die Abwesenheit von positiven Informationen ermöglicht gezielte Werbung, in dem der Betroffene nicht mit Anzeigen abgelenkt wird, die ihn nicht interessieren. Gleiches gilt für Scoring oder Voter Targeting. Jedes Verwendungsziel kann effektiver verfolgt werden, wenn mehr personenbezogene Daten verwendet werden. Daten, Datenkategorien, Verarbeitungsvorgänge und Verwendungsziele könnten von unterschiedlich hoher Relevanz sein. Dass diese aber auf bestimmte Daten oder Datenkategorien weniger angewiesen wären, oder gewisse Verarbeitungsvorgänge von größerer Bedeutung für sie seien, ist nicht allgemeingültig ersichtlich. Auch hier können keine Profilverwendungen als nicht besonders relevant ausgeschlossen werden.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO137

(5) Tatbestandsmerkmal „notwendige[s] Maß“ (a) Anforderungen des Merkmals des notwendigen Maßes (aa) Ansicht der Literatur Nach in der Literatur vertretener Ansicht soll durch den Datenminimierungsgrundsatz der Umfang von Datenverarbeitungen minimiert werden.284 Dies soll zunächst mit der Anwendung der ersten beiden Tatbestandsmerkmale der Erheblichkeit und der Angemessenheit realisiert werden. Daten, die „angemessen“ und „erheblich“ sind, sollen regelmäßig auch auf das „notwendige Maß“ beschränkt sein.285 Die Beschränkung auf das „notwendige Maß“ soll hier komplementieren und sicherstellen, dass der Zweck des Datenminimierungsgrundsatzes vollständig umgesetzt wird. Sie sorge als dritte und letzte Prüfungsebene dafür, dass der Gesamtumfang der Datenverarbeitung nicht zu groß werde.286 Teilweise wird dies dahingehend ausgearbeitet, dass es darauf ankomme, ob der Zweck ohne die gegenständliche Verarbeitung noch erreicht werden könnte.287 Dazu käme es darauf an, ob der Zweck „nicht, nicht rechtzeitig, nicht vollständig oder nur mit unverhältnismäßigem Aufwand erfüllt werden kann“.288 Dies ist im Ergebnis eine „conditio sine qua non“-Prüfung. Der Umfang der Datenverarbeitung soll insbesondere dann zu groß sein, wenn von Beginn der Verarbeitungen an dieser es nicht zulässt, dass alle dem Zweck zugeordneten Daten verarbeitet werden könnten.289 Die Beschaffung „auf Vorrat“ soll mit der Beschränkung auf das notwendige Maß grundsätzlich nicht vereinbar sein.290 Nur wenn gerade auch die Vorratsbeschaffung als Zweck festgelegt wurde und die Bedingung für die spätere Verwendung benannt ist, soll sie zulässig sein.291 Der Auslegung zur Umfangsbeschränkung ähnlich ist die Auslegung, die in dem Datenminimierungsgrundsatz eine Erforderlichkeitsprüfung sieht.292 284  Paal/Pauly

DS-GVO/Frenzel, Art. 5 Rn. 34. DS-GVO/Frenzel, Art. 5 Rn. 37. 286  Vgl. NK DS-GVO/Roßnagel, Art. 5 Rn. 121; Paal/Pauly DS-GVO/Frenzel, Art. 5 Rn. 37. 287  NK DS-GVO/Roßnagel, Art. 5 Rn. 121. 288  NK DS-GVO/Roßnagel, Art. 5 Rn. 121. 289  Paal/Pauly DS-GVO/Frenzel, Art. 5 Rn. 37. 290  Ehmann/Helfrich DSRL/Ehmann/Helfrich, Art. 6 Rn. 23; NK DS-GVO/Roßnagel, Art. 5 Rn. 121. 291  Ehmann/Helfrich DSRL/Ehmann/Helfrich, Art. 6 Rn. 24. 292  Vgl. Ziegenhorn/von Heckel, NVwZ 2016, 1585, 1587. 285  Paal/Pauly

138

C. Deliktische Haftung

Danach sollen nicht mehr Daten verarbeitet werden dürfen, als für den konkreten Zweck erforderlich seien.293 Dies wird damit begründet, dass die Beschränkung auf das notwendige Maß mit der Forderung nach Erforderlichkeit des Verhältnismäßigkeitsgrundsatzes identisch sei.294 Zwar wird dies auf den gesamten Datenminimierungsgrundsatz bezogen, muss damit aber letztlich auch für die Beschränkung auf das „notwendige Maß“ gelten. Eine Begründung für die Übertragung des Verhältnismäßigkeitsgrundsatzes fehlt allerdings. Schließlich wird gefordert, dass das notwendige Maß durch Pseudonymisierung einzuhalten sei.295 (bb) Autonome Auslegung der Beschränkung auf das „notwendige Maß“? Eine Vorfrage ist, ob die Beschränkung auf das „notwendige Maß“ autonom oder mitgliedstaatlich auszulegen ist. Zwar ist ersteres bei europäischem Recht grundsätzlich anzunehmen, der Zweck der in Frage stehenden Regelung kann aber ausnahmsweise eine mitgliedstaatliche Auslegung verlangen. Das ist der Fall, wenn es auch ohne ausdrückliche Verweisung, klare Indizien für einen Verweis auf das mitgliedstaatliche Recht gibt.296 Dies könnte hier zutreffen. Laut Weichert297 geht der Grundsatz der Datenminimierung des Art. 5 Abs. 1 lit. c DS-GVO auf das Volkszählungsurteil des BVerfG von 1983298 zurück, in dem das Grundrecht auf informationelle Selbstbestimmung geschaffen, beziehungsweise anerkannt wurde. Dessen Ausfluss ist der Grundsatz der Datenvermeidung und Datensparsamkeit nach § 3a BDSG a. F. Auch dieser Grundsatz wird als Vorläufer des Datenminimierungsgrundsatzes der DS-GVO angesehen.299 Beide, sowohl das Grundrecht auf informationelle Selbstbestimmung des Volkszählungsurteils als auch der Grundsatz der Datenvermeidung und Datensparsamkeit des § 3a BDSG a. F., könnten inhaltlich Bestandteil des Datenvermeidungsgrundsatzes des Art. 5 Abs. 1 lit. c DS-GVO sein. Dies hätte weiterreichende Auswirkungen auf seinen Inhalt.

DuD 2016, 378, 380. DatenSR DS-GVO/Schantz, Art. 5 Rn. 24. 295  Vgl. Schantz, NJW 2016, 1841, 1841 f. 296  Siehe oben Abschnitt C.I.1.c)bb)(1)(a)(aa). 297  Weichert, ZD 2016, 209, 215. 298  BVerfG NJW, 1984, 419 ff. 299  Vgl. Buchner, DuD 2016, 155, 156; Roßnagel/Nebel/Richter, ZD 2015, 455, 459. 293  Pollmann/Kipker, 294  BeckOK



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO139

Das Grundrecht auf informationelle Selbstbestimmung verlangt, dass der Betroffene abschätzen können muss, welches Wissen mögliche Kommunikationspartner haben und welche ihn betreffenden Informationen seiner sozialen Umwelt bekannt sind: in anderen Worten, wer was wann über ihn weiß.300 Eine fremdbestimmte Verwendung personenbezogener Daten ist damit nicht vereinbar.301 Damit könnte insbesondere die Bildung und Verwendung von Persönlichkeitsprofilen unvereinbar sein. Dabei werden nämlich personenbezogene Daten des Betroffenen akkumuliert und analysiert, was zu neuen Erkenntnissen in Form personenbezogener Daten über den Betroffenen führt. Sie können ohne Kenntnis des Betroffenen gebildet werden und die Verarbeitungsvorgänge sind allgegenwärtig und komplex. Dadurch ist die Bildung und Verwendung von Persönlichkeitsprofilen faktisch der Kontrolle des Betroffenen entzogen. Das erschwert die Durchsetzung seiner Rechte sehr oder macht sie sogar unmöglich.302 Die Schutzwirkung dieses Grundrechts sollte mit dem Grundsatz der Datenvermeidung und Datensparsamkeit des § 3a BDSG a. F. in Gesetzesform gegossen werden.303 Er sollte einer Gefährdung des Grundrechts auf informationelle Selbstbestimmung vorbeugen,304 in dem er auf einen möglichst geringen Umfang der Datenverarbeitung hinwirkte.305 Dies sollte durch eine Erforderlichkeitsprüfung erreicht werden.306 Darüber hinaus hat der Grundsatz der Datenvermeidung und Datensparsamkeit des § 3a BDSG a. F. das Ziel der Nicht-Verkettbarkeit von personenbezogenen Daten verfolgt.307 Zum Grundsatz der Datenvermeidung und -sparsamkeit wurde weiterhin vertreten, dass er verlangt habe, die Daten zum frühestmöglichen Zeitpunkt zu löschen, zu anonymisieren oder zu pseudonymisieren.308 Der Kern des Grundsatzes der Datenvermeidung und Datensparsamkeit habe nicht zuletzt deswegen in der Regulierung von „Big Data“-Anwendungen gelegen.309 Die Erforderlichkeitsprüfung ist mit der Durchführung von „Big Data“-Anwendungen nicht vereinbar. Diese zeichnen sich nämlich gerade dadurch aus, Erkenntnisse aus Daten zu gewinnen, die vorher nicht dem verfolgten Zweck zugeordnet wurden, also nicht erforderlich waren.310 „Big Data“-Anwendungen sind darauf 300  BVerfGE

65, 1, 43. Innovation, Recht und öffentliche Kommunikation/Roßnagel, S. 43. 302  Innovation, Recht und öffentliche Kommunikation/Roßnagel, S. 44. 303  BT-Drs. 14/4329, S. 33. 304  Innovation, Recht und öffentliche Kommunikation/Roßnagel, S. 43. 305  Roßnagel, ZD 2013, 562, 564. 306  Weichert, ZD 2013, 251, 256. 307  Weichert, ZD 2013, 251, 256 f. 308  Innovation, Recht und öffentliche Kommunikation/Roßnagel, S. 46. 309  Weichert, ZD 2013, 251, 254. 310  Koch, ITRB 2015, 13, 15; Weichert, ZD 2013, 251 ff. 301  Vgl.

140

C. Deliktische Haftung

angewiesen, möglichst viele Daten zu verarbeiten, was auch mit dem Ziel der Umfangbegrenzung unvereinbar ist. Der Grundsatz der Datenvermeidung und Datensparsamkeit hat daher auch deshalb eine Umsetzung des Grundrechts auf informationelle Selbstbestimmung dargestellt und könnte mit Persönlichkeitsprofilen schwer vereinbar sein. Diese Wertung könnte im Rahmen des Datenminimierungsgrundsatzes zu berücksichtigen sein. Sie weist zwar auch eine Verbindung zu den Tatbestandsmerkmalen der Angemessenheit und der Erheblichkeit auf, könnte aber besonders im allgemein formulierten, eine Korrektivfunktion ausübenden Tatbestandsmerkmals des notwendigen Maßes verortet werden. Um Art. 5 Abs. 1 lit. c DS-GVO entnehmen zu können, dass er den Sinn hat, die Wertungen des Grundsatzes der Datenvermeidung und Datensparsamkeit des § 3a BDSG a. F. in die Verordnung zu transportieren, müsste es mangels ausdrücklicher Verweisung allerdings klare Indizien geben. Ein solches wäre es, wenn Art. 5 Abs. 1 lit. c DS-GVO dem § 3a BDSG a. F. nachempfunden wäre. § 3a S. 1 BDSG a. F. bestand aus zwei Elementen: es sollten so wenig personenbezogene Daten wie möglich verarbeitet werden und dies sollte dadurch erreicht werden, dass die Verwendung der Daten sowie die Auswahl und Gestaltung der Datenverarbeitungssysteme hieran ausgerichtet werden. Dies sollte insbesondere durch Anonymisierung und Pseudonymisierung erfolgen. Art. 5 Abs. 1 lit. c DS-GVO hingegen verlangt, dass die Verarbeitung von Daten „angemessen“, „erheblich“ und auf das „notwendige Maß“ beschränkt ist. Das sind einerseits feste, positivrechtliche Vorgaben, deren Missachtung nicht nur ein „Ziel“ verfehlt, sondern einen direkten Verstoß gegen die Verordnung darstellt. Andererseits werden Kriterien auf­ gestellt, die von einer bloßen Beschränkung des Umfangs stark abweichen. Von einem Nachempfinden kann daher nicht ausgegangen werden. § 3a BDSG a. F. ist daher kein Indiz für eine mitgliedstaatliche Auslegung des Art. 5 Abs. 1 lit. c DS-GVO. Weiterhin kann die Offenheit einer Norm als Indiz dafür verstanden werden, dass auf das Verständnis entsprechenden mitgliedstaatlichen Rechts zurückgegriffen werden kann.311 Sowohl „notwendig“ als auch „Maß“ sind durchaus ausfüllungsbedürftige Tatbestandselemente. Die DS-GVO enthält aber zahlreiche Öffnungsklauseln, die den Mitgliedstaaten die Möglichkeit bieten, ihre Rechtsvorstellungen und -traditionen umzusetzen. Diese ausdrücklich normierten Öffnungen zeigen, dass mitgliedstaatliche Wertungen außerhalb der Öffnungsklauseln keinen Platz haben sollen. Gegen eine nationalstaatliche und für eine autonome Auslegung könnte zudem sprechen, dass der Datenminimierungsgrundsatz des Art. 5 Abs. 1 311  Siehe

oben Abschnitt C.I.1.c)bb)(1)(a)(aa).



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO141

lit. c DS-GVO als Nachfolger des Art. 6 Abs. 1 lit. c DSRL, der als „Grundsatz der Erheblichkeit und des Verbots des Erhebungsexzesses“ bezeichnet wird, angesehen werden kann.312 Die DSRL kannte das auf die datenverarbeitende Technik abzielende Prinzip der Datenvermeidung nicht,313 dafür wohnte ihr aber ein Prinzip der Erforderlichkeit inne.314 Zu Art. 6 Abs. 1 lit. c DSRL wurde auch das „Verbot des Erhebungsexzesses“ aufgestellt315, das im Wesentlichen den Umfang der Datenverarbeitung begrenzen soll.316 Art. 6 Abs. 1 lit. c DSRL enthält auch drei Tatbestandsmerkmale. Es wird deutlich, dass die Grundsätze des § 3a BDSG a. F. und die des Art. 6 Abs. 1 lit. c DSRL nicht deckungsgleich sind. Letzterem ist Art. 5 Abs. 1 lit. c DSGVO näher. Der Datenminimierungsgrundsatz baut daher eher auf seinem unionsrechtlichen Vorgänger als auf dem BDSG auf. Eine mitgliedstaatliche Auslegung ist auch insofern abzulehnen. Zusammenfassend fällt auf, dass die mitgliedstaatliche Auslegung im Hinblick auf das Grundrecht auf informationelle Selbstbestimmung und dem Grundsatz der Datenvermeidung und Datensparsamkeit zwar mehr Klarheit über den Inhalt des Datenminimierungsgrundsatzes gebracht hätte, vom Regelungszweck des Art. 5 Abs. 1 lit. c DS-GVO aber nicht gewollt ist. Dieser tritt vielmehr die Nachfolge des Art. 6 Abs. 1 lit. c DSRL an und ist unionsrechtlich autonom auszulegen. (cc) Wortlautauslegung Die Wortlautauslegung des Merkmals der Beschränkung auf das „notwendige Maß“ muss „notwendig“ als auch „Maß“ zum Gegenstand haben, wobei das erste Merkmal als Adjektiv das zweite Merkmal weiter eingrenzt. Das „Maß“ einer Verarbeitung kann als Umfang, Dauer oder Tiefe verstanden werden. In diesen Dimensionen bewegen sich zwar auch die anderen, vorangehenden Tatbestandsmerkmale der Angemessenheit und der Erheblichkeit. Die norminterne Anordnung des Art. 5 Abs. 1 lit. c DS-GVO entspricht aber einer Aufzählung, nach der der Datenminimierungsgrundsatz in drei Ebenen aufgeteilt und geprüft wird. Weil das „Maß“ ans Ende der Norm gestellt wird, kommt ihm eine Auffangfunktion zu. Umfang, Dauer und Tiefe der Verarbeitung können noch einmal „mit Abstand“ begutachtet werden. Das 312  So

Ehmann/Helfrich DSRL/Ehmann/Helfrich, Art. 6 Rn. 20 ff. BeckOK DatenSR BDSG (23. Ed.)/Schulz, § 3a Rn. 8 f.; Simitis BDSG/ Scholz, § 3a Rn. 17. 314  Vgl. Innovation, Recht und öffentliche Kommunikation/Roßnagel, S. 44 f.; Simitis BDSG/Scholz, § 3a Rn. 17. 315  Ehmann/Helfrich DSRL/Ehmann/Helfrich, Art. 6 Rn. 22 ff. 316  Dammann/Simitis DSRL/Dammann, Art. 6 Erl. 11. 313  Vgl.

142

C. Deliktische Haftung

„Maß“ bezieht sich auf die gesamten Verarbeitungsvorgänge. Der Fokus liegt also auf dem Kontext der Daten. Umfang, Dauer und Tiefe sind im Wortsinn „notwendig“, wenn ohne sie der Zweck der Verarbeitung nicht erreicht werden kann. Das entspricht einer Erforderlichkeits-Prüfung. Diese nimmt hier die Form einer „conditio sine qua non“-Prüfung an, die sich auf das Verhältnis des gesamten Verarbeitungsprozesses zum Verarbeitungszweck bezieht. Zusammenfassend müssen also Umfang, Dauer und Tiefe der Verarbeitung für den Zweck unabdingbar sein. (dd) Auslegung des historischen Verordnungsgeberwillens ErwG. 39 S. 8 DS-GVO nennt beispielhaft die Begrenzung der Speicherdauer auf das „unbedingt erforderliche Mindestmaß“. Dies entspricht der oben geforderten „conditio sine qua non“-Formel. Es handelt sich hier aber um ein Überbleibsel des Datenvermeidungsgrundsatzes, der noch im Verordnungstext des Kommissionsentwurfes enthalten war. Nach ErwG. 39 S. 9 DS-GVO sollen personenbezogene Daten nicht verarbeitet werden, wenn der Zweck der Verarbeitung auch in „zumutbarer Weise“ durch andere Mittel erreicht werden kann. Es handelt sich hierbei um die „Überreste“ eines noch weitergehenden Datenvermeidungsgrundsatzes. In Art. 5 Abs. 1 lit. c DS-GVO-E-KOM war ein solcher noch ausdrücklich formuliert, wurde aber im Laufe des Gesetzgebungsprozesses entfernt. ErwG. 39 S. 9 DS-GVO, im Kommissionsentwurf noch ErwG. 30 S. 4 DS-GVO-EKOM, war Begleiter des Datenvermeidungsgrundsatzes und wurde als solcher zusammen mit ihm herausgenommen.317 Dass er in die letztlich verabschiedete finale Version wiederaufgenommen wurde, lässt erkennen, dass sich der Verordnungsgeber zwar gegen einen Datenvermeidungsgrundsatz entschieden hat, der positiv-gesetzlich verpflichtet. Gleichwohl will er die Verarbeitung personenbezogener Daten reduzieren. Daher sind „andere Mittel“ im Sinne des ErwG. 39 S. 9 DS-GVO solche, die nicht-personenbezogene Daten verwenden. Der Verordnungsgeber beabsichtigte, dass nach Möglichkeit nicht-personenbezogene Daten zu verwenden sind. Inwieweit Verarbeitungen personenbezogener Daten einzuschränken sind, lässt sich der Historie der Erwägungsgründe allerdings nicht entnehmen. Dem Datenminimierungsgrundsatz der DS-GVO ging Art. 6 Abs. 1 lit. c DSRL voran. In diesem waren sowohl die Begrenzung des Umfangs als auch 317  Vgl. https://edri.org/files/EP_Council_Comparison.pdf, S. 22, 110, abgerufen 22.02.2017.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO143

das Erforderlichkeitsprinzip Wesensmerkmale.318 Insbesondere die Beschaffung personenbezogener Daten auf Vorrat wurde als mit dem Grundsatz unvereinbar angesehen, weil es sich dabei um einen „Erhebungsexzess“ handele.319 Eine Beschaffung auf Vorrat ist eine solche ohne festgelegten Zweck. Zusammenfassend wird deutlich, dass die historische Auslegung die übrigen Auslegungsergebnisse stützt. (ee) Teleologische Auslegung Der Datenminimierungsgrundsatz soll die Risiken für die Rechte und Freiheiten der betroffenen Person mindern.320 Werden weniger personenbezogene Daten in geringerem Umfang verarbeitet, reduziert sich die Gefahr für Rechte und Freiheiten des Betroffenen. Mehr Verarbeitungen erhöhen die Gefahr. Dementsprechend können Verarbeitungsprozesse gegen den Grundsatz der Datenminimierung verstoßen, weil der Umfang aller dem Zweck zugeordneten Daten zu groß ist. Während das Angemessenheitsmerkmal die Vertretbarkeit der Zuordnung und das Erheblichkeitsmerkmal den Umfang auf relevante Daten reduziert, beschränkt das „notwendige Maß“-Kriterium den Umfang der relevanten Daten. Dadurch kann auch die Verarbeitung relevanter Daten unzulässig werden. Darüber hinaus kommt der Beschränkung auf das notwendige Maß wegen seines offenen Wortlautes eine Auffangfunktion zu. Mit dem „effet utile“ ist zu fordern,321 dass das Ziel des Schutzes der Betroffenen möglichst weit und effektiv durchzusetzen ist. Er kann von diesem Merkmal effektiver umgesetzt werden, als von den beiden vorangehenden Merkmalen, weil sowohl die „Notwendigkeit“ als auch das „Maß“ in sich schon das Ziel der Minimierung tragen. Sinn und Zweck des Art. 5 Abs. 1 lit. c DS-GVO verlangen dann, sich für die Auslegung zu entscheiden, die die Rechte der Privatsphäre des Betroffenen besser schützt. (ff) Systematische Auslegung Bei einer systematischen Auslegung sind die übrigen Bereiche der DSGVO in den Blick zu nehmen. Art. 25 Abs. 2 S. 1 DS-GVO fordert datenschutzfreundliche Voreinstellungen, nach denen grundsätzlich nur solche 318  Vgl. Dammann/Simitis DSRL/Dammann, Art. 6 Erl. 11; Ehmann/Helfrich DSRL/Ehmann/Helfrich, Art. 6 Rn. 21 f.; Innovation, Recht und öffentliche Kommunikation/Roßnagel, S. 44 f.; Simitis BDSG/Scholz, § 3a Rn. 17. 319  Ehmann/Helfrich DSRL/Ehmann/Helfrich, Art. 6 Rn. 23. 320  Buchner, DuD 2016, 155, 156. 321  Europäische Methodenlehre/Riesenhuber, § 10 Rn. 45.

144

C. Deliktische Haftung

Daten verarbeitet werden dürfen, die für den Zweck erforderlich sind. Der Regelungscharakter einer konkretisierenden Norm könnte auf den einer allgemeingültigeren Norm übertragen werden. Dafür müsste Art. 25 Abs. 2 S. 1 DS-GVO ein Ausfluss des Datenminimierungsgrundsatzes sein.322 Dies erscheint aber fraglich. Art. 25 DS-GVO besteht aus zwei Absätzen. Der erste Absatz normiert Datenschutz durch Technik und Organisation. Dieser Absatz verschreibt sich ausdrücklich dem Datenminimierungsgrundsatz („[…] geeignete technische und organisatorische Maßnahmen […] die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen“). Der zweite Absatz unterlässt dies, dabei beinhaltet er die Erforderlichkeitsprüfung. Weil er sich nicht dem Datenminimeirungsgrundsatz verschreibt, könnte anzunehmen sein, dass er diesen nicht mit der Erforderlichkeitsprüfung ausfüllt. In ErwG. 78 S. 2 f. DS-GVO geht der Verordnungsgeber aber davon aus, dass Maßnahmen der datenschutzfreundlichen Voreinstellung, ebenso wie solche des Datenschutzes durch Technik, unter anderem die Verarbeitung personenbezogener Daten minimieren. Datenschutzfreundliche Voreinstellungen und Datenminimeirung werden so verknüpft. Art. 25 Abs. 2 DS-GVO ist daher auch Ausfluss des Grundsatzes der Datenminimierung. Daraus ist zu schließen, dass auch das in Art. 25 Abs. 2 DS-GVO geforderte Merkmal der Erforderlichkeit ein Merkmal des Datenminimerungsgrundsatzes ist.323 Da die Erforderlichkeit einer Verarbeitung anzunehmen ist, wenn sie nicht hinweggedacht werden kann, ohne dass der Verarbeitungszweck entfiele, stützt dies die Durchführung der oben geforderten „conditio sine qua non“-Prüfung. Ein in Art. 25 Abs. 1 DS-GVO genanntes Beispiel ist die Pseudonymisierung.324 Diese Verarbeitungsmodalität ist für die Rechte und Freiheiten des Betroffenen weniger belastend und kann so dazu beitragen, dass ein Verarbeitungsvorgang angemessen erscheint. Daher könnte zu fordern sein, dass das notwendige Maß als eingehalten angesehen wird, wenn pseudonymisiert wird. Dies wird dadurch gestützt, dass der Wortlaut des Art. 25 Abs. 1 DSGVO ausdrücklich die Pseudonymisierung als Maßnahme der Datenminimierung bezeichnet. Bestandteil der weiteren Verordnung ist auch der Zweckbindungsgrundsatz des Art. 5 Abs. 1 lit. b HS. 1 DS-GVO. Nach dessen drittem Merkmal muss der Verarbeitungszweck „legitim“ sein. Dafür muss der Zweck bewertet wer322  Buchner, DuD 2016, 155, 156; Dammann, ZD 2016, 307, 309 f.; Paal/Pauly DS-GVO/Martini, Art. 25 Rn. 2, 12, 16, 44 ff., 54; Pollmann/Kipker, DuD 2016, 378, 380; Roßnagel/Nebel/Richter, ZD 2015, 455, 459. 323  Buchner, DuD 2016, 155, 156; Pollmann/Kipker, DuD 2016, 378, 380; Roßnagel/Nebel/Richter, ZD 2015, 455, 459. 324  Roßnagel/Nebel/Richter, ZD 2015, 455, 459.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO145

den, was insbesondere die Auswirkung der Verarbeitung auf die Grundrechte und -freiheiten des Betroffenen berücksichtigt. Die dazu aufgestellten Anforderungen würden untergraben werden, wenn auch die Beschränkung auf das notwendige Maß den Zweck selbst bewerten würde. Nicht zuletzt, weil Normen ein stimmiges Gesamtbild ergeben müssen,325 ist dies abzulehnen. Als Kriterium für die Notwendigkeit des Maßes einer Datenverarbeitung ist daher die Legitimität des Verarbeitungszwecks auszuschließen. (gg) Z  usammenfassung der Auslegungsergebnisse zum „notwendige[n] Maß“ Umfang, Dauer und Tiefe der Verarbeitung müssen für ihren Zweck erforderlich und unabdingbar im „conditio sine qua non“-Sinne sein. Sofern es für die Erreichung des Zwecks zumutbar ist, müssen nicht-personenbezogene Daten verwendet werden. Insbesondere ist die Beschaffung von Daten auf Vorrat, also ohne Zweckzuordnung, zu unterlassen. Pseudonymisierung ist nicht prinzipiell gefordert. Schließlich hat die Beschränkung auf das notwendige Maß eine Auffangfunktion, die bei Zweifeln die Auslegung favorisiert, welche die personenbezogenen Daten des Betroffenen besser schützt. (b) A  kkumulierung der Daten für ein Persönlichkeitsprofil im Rahmen des „notwendige[n] Maß[es]“ Die Akkumulierung der Daten für ein Persönlichkeitsprofil müsste auf das für diesen Zweck notwendige Maß nach den vorgenannten Anforderungen beschränkt sein. Nicht personenbezogene Daten zu verwenden, scheidet bei der Akkumulierung für ein Persönlichkeitsprofil aus. Auch die Beschaffung von Daten ohne ihnen einen Zweck zuzuordnen, ist hier irrelevant. Schließlich kann auf legitime Weise die Akkumulierung von Daten als Zweck festgelegt werden.326 Fraglich ist daher allein, wann Umfang, Dauer und Tiefe der Verarbeitung für die Akkumulierung nicht mehr unabdingbar sind. Die Akkumulierung von Daten für ein Persönlichkeitsprofil umfasst möglichst viele Daten zu einer betroffenen natürlichen Person. Erst durch die Menge kann ein Profil geschaffen werden. Wie groß diese Menge sein muss, kann nicht abstrakt und abschließend bestimmt werden. Weder müssen „alle“ Informationen über die Persönlichkeit zusammengetragen werden noch gibt es ein Kern-Datum, das für das Profil unentbehrlich ist. Es gibt kein Datum, bei dem alle anderen Daten ihre Aussagekraft verlieren. Vielmehr kann einzeln betrachtet jedes 325  Europäische 326  Siehe

Methodenlehre/Riesenhuber, § 10 Rn. 22. oben Abschnitt C.I.1.c)dd)(3)(b).

146

C. Deliktische Haftung

Datum hinweggedacht werden, ohne dass die Akkumulierung unmöglich wird, da sich das Profil immer auch aus anderen Daten bilden lässt. Stets können alternative Daten erfasst und gesammelt werden. Verarbeitungen verschieben lediglich den Grad der Effektivität der Akkumulierung in die eine oder die andere Richtung. Mit jeder Verarbeitung kann das beabsichtigte Verwendungsziel effektiver verfolgt werden. Bleibt eine Verarbeitung aus, mindert das nur (kurzzeitig) die Effektivität der Zielverfolgung, ohne diese vollständig unmöglich zu machen. Eine andere Sicht hätte zur Folge, dass jede einzelne Datenverarbeitung unerheblich wäre, womit die Akkumulierung für ein Persönlichkeitsprofil immer gegen die DS-GVO verstoßen würde. Ein solches Ergebnis wäre allerdings mit dem Datenminimierungsgrundsatz unvereinbar, schließlich handelt es sich bei der Akkumulierung um einen nach Art. 5 Abs. 1 lit. b HS. 1 DS-GVO prinzipiell legitimen Zweck. Daher muss davon ausgegangen werden, dass jeder Umfang und jede Dauer sowie Tiefe der Akkumulierung erforderlich sind. Mit der „conditio sine qua non“-Formel kann keine Zuordnung von Daten zum Zweck der Akkumulierung als nicht erforderlich angesehen werden. Es ist zu fragen, ob man zu einem anderen Ergebnis gelangen könnte, wenn man die beabsichtigte Verwendung des Persönlichkeitsprofils berücksichtigte. Soll es der personalisierten Werbung dienen, könnte die Akkumulierung von Inhaltsdaten aus privater Kommunikation nicht erforderlich sein, da das tatsächliche Kaufverhalten oder die Konsumwünsche regelmäßig nur einen begrenzten Teil in der privaten Kommunikation ausmachen. Allerdings ist es auch eine verwertbare Erkenntnis, wenn bestimmte Konsumwünsche gerade nicht bestehen. Werbung, die den Betroffenen nicht anspricht, kann dann unterlassen werden. Auch dies stellt eine Personalisierung dar. Entsprechendes gilt bei Scoring oder Voter Targeting. Die Verwendung des Persönlichkeitsprofils spielt hier daher keine Rolle. Keine Akkumulierung überschreitet mithin das notwendige Maß. Dieses Ergebnis mag widersprüchlich klingen, steht aber im Einklang mit der Wertung des Zweckbindungsgrundsatzes, nach dem die Akkumulierung ein legitimer Zweck ist. Diesem legitimen Zweck dient es, wenn ihm personenbezogene Daten umfangreich und dauerhaft zugeordnet werden. Alle Daten und Datenkategorien sind prinzipiell gleichermaßen dafür notwendig. Ein solcher Zweck macht jedes Maß der Akkumulierung notwendig. (c) B  ildung von Persönlichkeitsprofilen im Rahmen des „notwendige[n] Maß[es]“ Auch die Bildung von Persönlichkeitsprofilen darf das „notwendige Maß“ nicht überschreiten. Wie bei der Akkumulierung haben Daten bei der Profil-



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO147

bildung einen Zweck und werden somit nicht auf Vorrat verarbeitet. Ebenfalls sind alle gebildeten Profildaten notwendigerweise personenbezogen. Gleichermaßen ließe sich bei der Profilbildung sagen, dass jede einzelne Generierung oder Zuordnung von personenbezogenen Daten hinweggedacht werden kann, ohne dass der Verwendungszweck beeinträchtigt werden würde. Es besteht immer die Alternative, anstelle eines Datums ein anderes zu verarbeiten und dennoch ein Persönlichkeitsprofil zu bilden. Wie oben dargelegt, würde das im Endergebnis dazu führen, dass die Bildung von Persönlichkeitsprofilen immer einen Verordnungsverstoß darstellen würde, obwohl es sich bei der Bildung um einen legitimen Zweck handelt.327 Daher muss vielmehr davon ausgegangen werden, dass jede Generierung neuer Daten und jede Zuordnung vorhandener Daten das Persönlichkeitsprofil weiter verbessert, seine Aussagekraft steigert und damit die Verwendbarkeit für jeden beabsichtigten Einsatz erhöht. Hinzu kommt, dass es sich bei einem Persönlichkeitsprofil um ein System handelt, dass auf die fortlaufende Verarbeitung vieler verschiender Daten angewiesen ist. Umfang, Dauer und Tiefe der Verarbeitung sind damit bei Persönlichkeitsprofilen stets unabdingbar und erforderlich. (d) V  erwendung von Persönlichkeitsprofilen im Rahmen des „notwendige[n] Maß[es]“ Letztendlich ist zu prüfen, ob die Verwendung von Persönlichkeitsprofilen das notwendige Maß überschreitet. Auch bei der Profilverwendung handelt es sich notwendigerweise um personenbezogene Daten, die auch nicht auf Vorrat verarbeitet werden. Je intensiver Persönlichkeitsprofile für personalisierte Werbung, Scoring oder Voter Targeting eingesetzt werden, desto besser lassen sich diese Ziele erreichen. Schließlich schöpft die Verwendung von Persönlichkeitsprofilen die Möglichkeiten der Personalisierung konsequent aus. Es gibt daher keine Profilverwendung, die in Umfang, Dauer oder Tiefe nicht erforderlich wäre. (6) Zwischenergebnis Datenminimierungsgrundsatz Jede mit Persönlichkeitsprofilen zusammenhängende Datenverarbeitung ist „angemessen“, „erheblich“ und auf das „notwendige Maß“ beschränkt. Mangelnde Auswirkungen des Datenminimierungsgrundsatzes sind seiner engen Bindung an den Zweckbindungsgrundsatz geschuldet.

327  Siehe

oben Abschnitt C.I.1.c)dd)(3)(c).

148

C. Deliktische Haftung

ff) Zwischenergebnis Grundsätze Der Grundsatz der Rechtmäßigkeit nach Art. 5 Abs. 1 lit. a Var. 1 DS-GVO verweist auf Art. 6 Abs. 1 DS-GVO, der ausfüllt, welche Verarbeitungen rechtmäßig sind. Die Aufnahme dieses Grundsatzes führt dazu, dass, im Sinne des grundsätzlichen Verbots mit Ausnahmevorbehalt, Verarbeitungen gegen die Verordnung verstoßen, welche nicht mit Art. 6 Abs. 1 DS-GVO vereinbar sind. Der Grundsatz von Treu und Glauben nach Art. 5 Abs. 1 lit. a Var. 2 DSGVO wird nicht verletzt, wenn die Transparenz- und Informationspflichten eingehalten werden und etwa die Einwilligung des Betroffenen den gesetzlichen Anforderungen genügt. Eine weitere Ausgestaltung durch die Rechtsprechung bleibt aber offen. Der Grundsatz der Transparenz, den Art. 5 Abs. 1 lit. a Var. 3 DS-GVO formuliert, verlangt, dass die Akkumulierung, die Bildung und die Verwendung von Persönlichkeitsprofilen nicht nur kleinteilig dargestellt wird, sondern auch, dass die Generierung und die Zuordnung neuer personenbezogener Daten jedenfalls kategorisch dargestellt werden muss. Nach dem Zweckbindungsgrundsatz des Art. 5 Abs. 1 lit. b DS-GVO müssen Verarbeitungen einem festgelegten, eindeutigen und legitimen Zweck dienen. Das bedeutet, dass die Akkumulierung, die Profilbildung und die Profilverwendung jeweils eigene Zwecke sein müssen. Zudem muss der Betroffene bei jedem Verarbeitungskomplex abschätzen können, wie das Persönlichkeitsprofil letztendlich verwendet werden soll. Bei der Profilbildung muss hinzugefügt werden, dass neue personenbezogene Daten generiert und neu zugeordnet werden können. Die Weiterverarbeitung zu den Primärzwecken der Akkumulierung, Profilbildung und -verwendung nach Art. 5 Abs. 1 lit. b HS. 1 DS-GVO ist möglich. Sind diese Verarbeitungskomplexe nur Sekundärzwecke, wurden die Daten also ursprünglich für andere primäre Zwecke erhoben, ist Art. 6 Abs. 4 DS-GVO maßgeblich. Hier ist bei der Akkumulation zwischen den Arten der Verarbeitungen zu unterscheiden. Cookies, Skripte und Plugins sind zulässige „Weiterverarbeitungen“, weil der Betroffene eine gewisse Kontrollmöglichkeit behält. Bei der Verarbeitung von durch Sound Beacon oder Device Fingerprinting gewonnenen Daten, bei Verkehrs- und Verbindungsdaten oder bei generell ausreichend großer Marktmacht des Verantwortlichen ist die Weiterverarbeitung aufgrund des großen Ungleichgewichts zwischen Betroffenem und Verantwortlichem nicht möglich. Auch Bildung und Verwendung von Persönlichkeitsprofilen können keine zulässige Sekundärzweck-Weiterverarbeitung sein.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO149

Der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DS-GVO stellt letztendlich nur die Kehrseite des Zweckbindungsgrundsatzes dar. Ein über diesen hinausgehenden Regelungsgehalt konnte, bezogen auf Persönlichkeitsprofile, nicht festgestellt werden. d) Verstoß gegen spezielle Normen der DS-GVO Die Akkumulierung, die Bildung und die Verwendung von Persönlichkeitsprofilen sind nicht nur an den Grundsätzen der DS-GVO zu messen. Sie sind auch auf ihre Vereinbarkeit mit speziellen Normen zu prüfen. Hier kommt Art. 22 DS-GVO zu automatisierten Entscheidungen im Einzelfall sowie das Widerspruchsrecht nach Art. 12 DS-GVO in Betracht. aa) Automatisierte Entscheidungen im Einzelfall, Art. 22 DS-GVO Art. 22 Abs. 1 DS-GVO stipuliert ein Betroffenenrecht. Danach darf, infolge automatisierter Verarbeitung, der Betroffene nicht einer Entscheidung unterworfen werden, die erhebliche Beeinträchtigungen zur Folge hat. Dazu zählt ausdrücklich auch „Profiling“. Von diesem Verarbeitungsverbot sieht Art. 22 Abs. 2 DS-GVO Ausnahmen vor: die Erforderlichkeit der Entscheidung für den Abschluss oder die Erfüllung eines Vertrages (lit. a), Rechtsvorschriften der Union oder der Mitgliedstaaten (lit. b) sowie die ausdrückliche Einwilligung des Betroffenen (lit. c). Soll die Automatisierung einer Einzelfallentscheidung auf die Erforderlichkeit für einen Vertrag (lit. a) oder die ausdrückliche Einwilligung (lit. c) gestützt werden, müssen nach Art. 22 Abs. 3 DS-GVO, angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten des Betroffenen getroffen werden. Darüber hinaus enthält Art. 22 Abs. 4 DS-GVO eine Rückausnahme, nach der eine automatisierte Entscheidung grundsätzlich nicht auf sensitiven Daten im Sinne des Art. 9 Abs. 1 DS-GVO beruhen darf. Mit diesen Vorgaben könnten Datenakkumulierung, Bildung oder Verwendung von Persönlichkeitsprofilen unvereinbar sein und damit im Sinne des Art. 82 Abs. 1 DS-GVO gegen die Verordnung verstoßen. (1) Widerspruchsrecht oder Verbotsgesetz? Art. 22 Abs. 1 DS-GVO kann entweder als Widerspruchsrecht, welches ausgeübt werden muss, oder als Verbotsgesetz verstanden werden, das auch gilt, wenn sich der Betroffene nicht ausdrücklich hierauf beruft. Weit überwiegend ist die Einordnung als Verbotsgesetz.328 Zwar gehen manche Litera328  BeckOK DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 45; Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil  3 Rn. 62; Deuster, PinG 2016, 75, 77; Wybitul

150

C. Deliktische Haftung

turstimmen nicht ausdrücklich von einer Verbotsqualität aus, diese lassen aber auch die im Umkehrschluss gebotene Einordnung als wahrnehmungsbedürftiges Recht vermissen.329 Nur teilweise wird von einem wahrnehmungsbedürftigen Recht ausgegangen.330 Hierfür spricht zunächst der Wortlaut der Norm, der ein „Recht“ beschreibt.331 Diese Bezeichnung wählen auch die Art. 15–18 DS-GVO, die unstrittig als wahrnehmungsbedürftige Rechte angesehen werden. Die Informationspflichten der Art. 13 und 14 DS-GVO hingegen, die den Verantwortlichen direkt verpflichten und Gebotsgesetze sind, bezeichnen sich nicht als „Recht“. Gegen die Einordnung des Art. 22 DS-GVO als Verbotsgesetz wird angeführt, dass dies systemwidrig sei. Die Verordnung sei nämlich technikneutral332 und spreche an keiner Stelle ein grundsätzliches Verbot von Technik und Verfahren aus333. Selbst wenn angenommen werden könnte, dass Art. 22 DS-GVO ein Verbot von Technik und Verfahren sei, könnte diesem Argument nicht gefolgt werden. Die Verordnung ist keineswegs technikneutral. In Art. 25 ordnet sie Datenschutz durch Technikgestaltung sowie datenschutzfreundliche Voreinstellung an. Es ist daher nicht ausgeschlossen, dass umgekehrt auch Technik und Verfahren verboten werden. Auch der Verordnungsgebungsprozess lässt vermuten, dass hier ein Verbotsgesetz geschaffen werden sollte. In den Vorläuferversionen war Art. 22 DS-GVO noch eindeutig als Widerspruchsrecht ausgestaltet („widersprechen“, Art. 20 Abs. 1; ErwG. 58 DS-GVO-EP).334 Das von dieser Eindeutigkeit abgewichen wurde, ist als Hinwendung zur Einordnung als Verbotsgesetz zu sehen. Art. 22 Abs. 1 DS-GVO als Widerspruchsrecht und nicht als Verbotsgesetz einzuordnen, wäre darüber hinaus mit Art. 21 DS-GVO unvereinbar. Dieser ist bereits, was unstrittig ist, ein Widerspruchsrecht. Hätte Art. 22 DS-GVO ebenfalls ein Widerspruchsrecht sein sollen, hätte sein Inhalt in Art. 21 DSGVO aufgenommen werden können.335 Darüber hinaus ist Abschnitt 4 der Verordnung, in dem sich die Art. 21; 22 DS-GVO befinden, mit „Widerspruchsrecht und automatisierte Entscheidung im Einzelfall“ überschrieben. Es gibt also einerseits eine Norm zum Widerspruchsrecht und andererseits DS-GVO/Draf, Art. 21, 22 Rn. 8; Kugelmann, DuD 2016, 566, 569; Paal/Pauly DSGVO/Martini, Art. 22 Rn. 1, 29 ff.; Schantz, NJW 2016, 1841, 1844; Taeger, RDV 2017, 3, 3. 329  Eschholz, DuD 2017, 180, 184; Richter, DuD 2016, 581, 585; Taeger, ZRP 2016, 72, 74. 330  Moos/Rothkegel, ZD 2016, 561, 567. 331  BeckOK DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 2.1 332  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 14. 333  BeckOK DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 2.1. 334  Deuster, PinG 2016, 75, 77. 335  Paal/Pauly DS-GVO/Martini, Art. 22 Rn. 29b.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO151

eine Norm zur automatisierten Entscheidung, die also gerade kein Widerspruchsrecht ist. Wenn sie aber kein Widerspruchsrecht ist, liegt es nahe, Art. 22 DS-GVO stattdessen als Verbotsgesetz zu behandeln. Auch teleologische Erwägungen sprechen für ein Verbotsgesetz. Art. 22 DS-GVO soll verhindern, dass Entscheidungen, die das Leben von Menschen beeinflussen, allein von Maschinen getroffen werden.336 Erfolgen diese Entscheidungen automatisiert, finden sie häufig auf eine Art statt, die für den Betroffenen nicht erkennbar ist. Das erschwert die Ausübung eines Widerspruchsrechts. Versteht man Art. 22 Abs. 1 DS-GVO hingegen als Verbotsnorm, kommt es auf diese Geltendmachung nicht an. Nur so soll die „Unterwerfung des Individuums unter die Entscheidung der Maschine“337 verhindert werden können. Aus historischen, teleologischen und systematischen Erwägungen heraus ist Art. 22 Abs. 1 DS-GVO daher als Verbotsgesetz einzuordnen. (2) Anforderungen des Verbots (a) Grundsatz nach Art. 22 Abs. 1 DS-GVO Art. 22 Abs. 1 DS-GVO gibt einer Person „das Recht“, keiner „ausschließlich auf einer automatisierten Verarbeitung […] beruhenden Entscheidung“ zu unterliegen, „die rechtliche Wirkung entfaltet oder sie […] erheblich beeinträchtigt“. Die Tatbestandsmerkmale werden im Folgenden untersucht. (aa) Tatbestandsmerkmal der Verarbeitung Was eine „Verarbeitung“ ist, bestimmt die Legaldefinition des Art. 4 Nr. 2 DS-GVO. Danach ist jede Vorgangsreihe, wie das Erheben, Verwenden oder Bereitstellen eine Verarbeitung. Nicht definiert ist die Automatisierung der Verarbeitung,338 die ausgelegt werden muss. Folgt man dem Wortsinn, ist darunter ein Verarbeitungsprozess zu verstehen, der ohne Mitwirkung einer natürlichen Person autonom durchgeführt und abgeschlossen werden kann. Hierzu zählt auch Profiling, auch wenn teilweise bestritten wird, dass die Erwähnung von Profiling in Art. 22 Abs. 1 DS-GVO überhaupt eine Bedeutung habe.339

336  Albrecht/Jotzo

Datenschutzrecht/Albrecht/Jotzo, Teil 3 Rn. 61. DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 2. 338  Vgl. Deuster, PinG 2016, 75, 77. 339  Wybitul DS-GVO/Draf, Art. 21, 22 Rn. 4; Schantz, NJW 2016, 1841, 1844. 337  BeckOK

152

C. Deliktische Haftung

(bb) Tatbestandsmerkmal der Entscheidung Eine „Entscheidung“ ist die abschließende Herbeiführung einer gestaltenden Wirkung.340 An einer abschließenden Wirkung mangelt es, wenn Datensätze, wie etwa gesammelte Suchanfragen, Einkäufe oder Produktempfehlungen, lediglich strukturiert werden und die Auswahl des vollständigen Datensatzes möglich bleibt.341 Werden solche Datensätzen ausgewertet, ist eine abschließende Wirkung gegeben.342 Dann werden nämlich persönliche Merkmale, wie etwa Produktvorlieben des Betroffenen, generiert. Sofern die Auswertung allein aus schlichten Vorgängen, wie der Untersuchung der Häufigkeit einer Produktsuche, besteht, könnte eine bewusste Herbeiführung des Ergebnisses und damit der Entscheidungscharakter verneint werden. Simple „Wenn-Dann-Folgen“ sollen nämlich keine Entscheidungen im Normsinne darstellen.343 Eine Entscheidung erfordere vielmehr eine gewisse Komplexität. Eine derart enge Auslegung wäre mit dem Ziel der Abwehr von Gefahren für den Betroffenen allerdings kaum vereinbar. „Wenn-Dann-Folgen“ sind gerade das Wesen einer automatisierten Entscheidung. Automatisierung besteht großteils aus Algorithmen, die Bedingungen und deren Folgen definieren. Aus ihnen ergibt sich das Gefahrenpotenzial, weswegen sie dem Anwendungsbereich des Art. 22 Abs. 1 DS-GVO zugeschlagen werden müssen. Es wäre verfehlt, wenn menschliche Urteile, denen eine vernunft- und erkenntnisgetriebene Abwägung des Für und Wider vorausgeht, zum Maßstab gemacht werden würden. Vielmehr ist jede Entscheidung als eine Entscheidung im Normsinne anzunehmen, auch wenn sie einer einfachen Logik folgt.344 (cc) Tatbestandsmerkmal der Ausschließlichkeit Die Entscheidung muss, so der Wortlaut, ausschließlich auf der automatisierten Verarbeitung beruhen. Das ist jedenfalls dann der Fall, wenn an keiner Stelle des Entscheidungsprozesses natürliche Personen involviert sind und er vollständig aus rechnerischen Prozessen besteht.345 Allerdings wird der Kontext einer jeden Datenverarbeitung von Menschen bestimmt. Es kann daher nur darauf ankommen, bis zu welchem Grad der Involvierung noch von einem „Beruhen“ auf Automatisierung ausgegangen werden kann. Dies ist 340  BeckOK

DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 14. DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 16. 342  BeckOK DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 17. 343  BeckOK DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 12 f. 344  Dammann, ZD 2016, 307, 312. 345  BeckOK DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 21 ff.; Paal/Pauly DSGVO/Martini, Art. 22 Rn. 16. 341  BeckOK



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO153

umstritten. Es wird vertreten, dass das Vorliegen eines „ausschließlichen“ Beruhens abzulehnen sei, wenn die involvierte natürliche Person einen inhaltlichen Bewertungs- und Entscheidungsspielraum habe (und diesen im Einzelfall auch ausübt).346 Nach anderer Ansicht soll die Ausschließlichkeit bereits nicht vorliegen, wenn eine natürliche Person eine Richtigkeits- und Plausibilitätskontrolle ausübt.347 Einschränkend soll lediglich gelten, dass zur wirksamen Ausübung ihres Entscheidungsspielraums die natürliche Person ausreichend qualifiziert sein müsse.348 Andernfalls seien natürliche Personen nur scheinbar involviert. Nach hier vertretener Ansicht kann es für das ausschließliche Beruhen der Entscheidung auf automatisierter Verarbeitung nur darauf ankommen, ob die Entscheidung mit oder ohne einen menschlichen Beitrag zu treffen ist. Ein menschlicher Bewertungs- und Entscheidungsspielraum ist nur dann maßgeblich, wenn dieser ausgeübt werden muss, um die Entscheidung zu treffen. Die bloße Möglichkeit seiner Ausübung kann nicht dafür ausreichen, eine Automatisierung und damit die Anwendung des Art. 22 DS-GVO-Verbots abzulehnen. Eine Kontrolle von Richtigkeit und Plausibilität durch eine natürliche Person, die nur rückwirkend sein kann, kann hierfür nicht ausreichen. Zusammenfassend ist festzuhalten, dass die Entscheidung nur dann ausschließlich auf automatisierter Verarbeitung beruht, wenn sie ohne die Ausübung eines menschlichen Bewertungs- und Entscheidungsspielraums getroffen wird. (dd) Tatbestandsmerkmal des Unterworfenseins Art. 22 Abs. 1 DS-GVO verlangt weiterhin, dass der Betroffene der Entscheidung „unterworfen“ ist. Dies soll dann der Fall sein, wenn die Be­ dingungen der Verarbietung einseitig vom Verantwortlichen festgesetzt werden.349 Eine Unterwerfung könne aber etwa nicht angenommen werden, wenn „Smart Home“-Technik eingesetzt werde, weil der Betroffene die Kontrolle behalte. Auch Suchmaschinenergebnissen sei man nicht unterworfen, weil ihre Nutzung von der Entscheidung des Betroffenen abhänge.350 Richtig ist, dass das Vorliegen des Merkmals des Unterworfenseins vom Willen des Betroffenen abhängt. In der Literatur wird darauf abgestellt, ob die Nutzung der der Entscheidung zugrunde liegenden Technik auf den Willen des Nutzenden zurückgeht. Bei der Entscheidung über die Nutzung von 346  Paal/Pauly

DS-GVO/Martini, Art. 22 Rn. 17 ff. DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 23. 348  BeckOK DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 24. 349  Gola DS-GVO/Schulz, Art. 22 Rn. 19; NK DS-GVO/Scholz, Art. 22 Rn. 18. 350  BeckOK DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 19. 347  BeckOK

154

C. Deliktische Haftung

Technik handelt es sich um eine Entscheidung über die Nutzung einer Infrastruktur. Dies bedeutet aber nicht, dass man gleichzeitig eine Entscheidung über einen End­ zustand treffen will. Wird gleichwohl eine automatisierte Entscheidung getroffen, kann nicht davon ausgegangen werden, dass dies auf den Betroffenenwillen zurückgeht. Zudem dürfte der Einsatz von Technik weit überwiegend auf den Willen des Nutzenden zurückgehen. Das etwa Positionsdaten verarbeitet werden, nehmen die Betroffenen in Kauf, um standortgebundene Dienste nutzen zu können. Auch „Smart Home“-Technik, die der Nutzer selbst einbaut und nutzt, könnte automatisiert entscheiden, das Haus zu verschließen. Hier die Anwendbarkeit des Art. 22 Abs. 1 DS-GVO wegen Fehlens des Merkmals des „Unterworfenseins“ abzulehnen, würde dessen Anwendungsbereich sehr einschränken. Damit würde der Sinn und Zweck der Norm, nämlich der Schutz des Betroffenen (Art. 1 Abs. 1, 2 DS-GVO) unterlaufen werden. Ausschlaggebend ist vielmehr, ob die automatisierte Entscheidung – nicht der Einsatz oder die Nutzung der Technik – den Betroffenen unterwirft. Das ist jedenfalls dann der Fall, wenn der Betroffene auf die Entscheidung nicht einwirken oder sie ablehnen kann. Inwiefern der Einsatz der Technik, der der Entscheidung zugrunde liegt, willensgetragen ist, hat höchstens Indizwirkung. (ee) T  atbestandsmerkmale der rechtlichen Wirkung und der Beeinträchtigung Abschließend muss die Entscheidung den Betroffenen entweder erheblich beeinträchtigen oder eine rechtliche Wirkung ihm gegenüber entfalten. Eine „rechtliche Wirkung“ ist ein offener Begriff, bei dem die Umstände des Einzelfalls maßgeblich sind.351 Beispiele für das Vorliegen einer rechtlichen Wirkung sind die Kündigung352 und die Annahme eines Vertrages353. Eine rechtliche Wirkung liegt hingegen nicht vor, wenn ein Vertragsangebot abgelehnt354 oder die Zahlungsart oder die Rabattgewährung festgelegt werden.355 Auch die Direktwerbung, sowohl die Entscheidung über ihre Zusendung als auch ihr Inhalt, ist keine rechtliche Folge im Sinne des Art. 22 Abs. 1 DS351  Paal/Pauly

DS-GVO/Martini, Art. 22 Rn. 27. DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 31; Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil  3 Rn. 63; Deuster, PinG 2016, 75, 76 f.; Paal/ Pauly DS-GVO/Martini, Art. 22 Rn. 26. 353  Deuster, PinG 2016, 75, 76 f.; Paal/Pauly DS-GVO/Martini, Art. 22 Rn. 26. 354  BeckOK DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 35; Deuster, PinG 2016, 75, 76 f. 355  BeckOK DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 35 f. 352  BeckOK



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO155

GVO.356 Bei diesen Beispielen handelt es sich um rein (rechts-)tatsächliche Vorgänge. Eine lediglich mittelbare Wirkung ist allerdings nicht ausreichend, da andernfalls die Alternative der erheblichen Beeinträchtigung entwertet werden würde.357 Ob die rechtliche Wirkung negativ sein muss,358 oder auch positiv sein kann,359 ist umstritten. Für die Beantwortung dieser Streitfrage ist das Ziel der Norm entscheidend. Sie sieht in der Automatisierung von Einzelentscheidungen eine Gefahr für den Betroffenen, die sich dadurch realisiert, dass überhaupt eine rechtliche Wirkung entfaltet wird. Dies gefährdet Selbstbestimmung und -verwirklichung. Erkennbar ist dies an dem Tatbestandsmerkmal des Unterworfenseins, welcher Einfluss auf die Freiheit des Betroffenen nimmt. Diese wird durch die Rechtserheblichkeit der Wirkung betroffen. Das ist bei negativen, wie bei positiven rechtlichen Wirkungen der Fall. Anstelle der rechtlichen Wirkung reicht es für Art. 22 DS-GVO aus, wenn eine erhebliche Beeinträchtigung des Betroffenen durch die automatisiert getroffene Entscheidung eintritt. Das ist der Fall, wenn die Entscheidung für den Betroffenen eine wirtschaftliche oder persönliche Folge gewissen Ausmaßes hat.360 Entscheidend sind auch hier die Umstände des Einzelfalls.361 Auf eine rechtliche Dimension kommt es allerdings nicht an. Beispielhaft nennt ErwG. 71 S. 1 DS-GVO die automatische Ablehnung eines OnlineKreditantrages oder das Durchführen eines Online-Einstellungsverfahrens ohne menschliches Eingreifen. Eine erhebliche Beeinträchtigung liegt auch vor, wenn über eine bestimmte Zahlungsart, einen Kreditantrag oder einen Vertragsschluss entschieden wird.362 Allerdings wird hier einschränkend vertreten, dass der Vertragsabschluss den Betroffenen den Zugang zur eindeutig günstigsten Bedingung auf dem Markt verwehren muss. Solange also Alternativen mit vergleichbaren Konditionen bestehen, liegt demnach in der Vertragsablehnung eines Verantwortlichen keine erhebliche Beeinträchtigung vor.363 Wettbewerbsrechtlich erlaubte Direktwerbung kann in keinem Fall eine erhebliche Beeinträchtigung darstellen.364 356  BeckOK

DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 34. DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 28; Paal/Pauly DSGVO/Martini, Art. 22 Rn. 26. 358  BeckOK DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 33. 359  Deuster, PinG 2016, 75, 76 f.; Paal/Pauly DS-GVO/Martini, Art. 22 Rn. 26; 28. 360  Deuster, PinG 2016, 75, 76 f.; Paal/Pauly DS-GVO/Martini, Art. 22 Rn. 27. 361  BeckOK DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 40; Deuster, PinG 2016, 75, 76 f.; Paal/Pauly DS-GVO/Martini, Art. 22 Rn. 27. 362  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil  3 Rn. 63; Deuster, PinG 2016, 75, 76 f.; Paal/Pauly DS-GVO/Martini, Art. 22 Rn. 27. 363  BeckOK DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 40. 364  BeckOK DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 41. 357  BeckOK

156

C. Deliktische Haftung

(b) Ausnahmen nach Art. 22 Abs. 2, 3 DS-GVO Art. 22 Abs. 2 DS-GVO sieht Ausnahmen vom grundsätzlichen Verbot automatisierter Entscheidungsfindung des ersten Absatzes vor. Nach Art. 22 Abs. 2 lit. a DS-GVO ist sie zulässig, wenn sie für die Erfüllung eines Vertrages zwischen Betroffenem und Verantwortlichem erforderlich ist. Für das hier entscheidende Merkmal der Erforderlichkeit ist nach einer Literaturauffassung maßgeblich, ob auch eine natürliche Person zur Entscheidung eingesetzt werden könnte. Das soll insbesondere bei massenhaften und zeitkritischen Verträgen nicht der Fall sein.365 Nach einer anderen in der Literatur vertretenen Meinung soll Art. 6 lit. b DS-GVO herangezogen werden. Dieser Artikel stellt auch auf die Erforderlichkeit der Verarbeitung für die Erfüllung eines Vertrages ab. Entscheidend sei allerdings, ob ein unmittelbarer und sachlicher Zusammenhang zwischen Vertragsziel und Verarbeitung bestehe.366 Dieser könne sich auch mittelbar, etwa aus Nebenabreden, ergeben.367 Sogar mitgliedstaatliches Vertragsrecht soll hier herangezogen werden können.368 Die Kernfrage ist, ob die Verarbeitung erforderlich im Sinne des Art. 6 Abs. 1 lit. b DS-GVO ist. Dafür spricht schon der beinahe identische Wortlaut beider Normen. Hier ist zwar nicht jede Verarbeitung maßgeblich, sondern nur eine automatisierte Einzelfallentscheidung im Sinne des Art. 22 Abs. 1 DS-GVO. Deswegen ist zu berücksichtigen, ob die automatisierte Entscheidung erforderlich ist. Ist sie es nicht, weil ein Zwischenschritt fehlt oder sie nicht unadingar ist,369 kann die Entscheidung auch stets durch eine natürliche Person getroffen werden. Das Kriterium des Zusammenhangs zwischen Vertragsziel und Verarbeitung ist zudem stets gegeben, wenn die Verarbeitung erforderlich für den Vertrag ist. Daher kommt es für die Erforderlichkeit allein auf Art. 6 Abs. 1 lit. b DS-GVO an. Nach Art. 22 Abs. 2 lit. b DS-GVO können sich Ausnahmen des Verbots automatisierter Einzelentscheidung auch aus unions- oder mitgliedstaatlichem Recht ergeben. Der deutsche Gesetzgeber hat hiervon etwa in § 35a VwVfG Gebrauch gemacht, und den vollständig automatisierten Erlass eines Verwlatungsaktes vorgesehen.370 Art. 22 Abs. 2 lit. c DS-GVO sieht als Ausnahmetatbestand die Einwilligung vor. Der Betroffene muss allerdings hinreichend informiert werden und eine ausreichende Einsichtsfähigkeit besit365  BeckOK

DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 43. PinG 2016, 75, 77 f.; Paal/Pauly DS-GVO/Martini Art. 22 Rn. 31a. 367  Deuster, PinG 2016, 75, 77 f.; Paal/Pauly DS-GVO/Martini Art. 22 Rn. 31a. 368  Paal/Pauly DS-GVO/Martini Art. 22 Rn. 31b. 369  Siehe unten Abschnitt C.I.1.e)bb)(1)(c)(cc). 370  Gola DS-GVO/Schulz, Art. 22 Rn. 31. 366  Deuster,



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO157

zen.371 Hier ist. Art. 6 Abs. 1 lit. a DS-GVO mit der zusätzlichen Voraussetzung maßgeblich, dass sich die Einwilligung „ausdrücklich“ auf die automatisierte Einzelfallentscheidung beziehen muss. Diese Ausnahmetatbestände werden von Art. 22 Abs. 3 DS-GVO weiteren Anforderungen unterworfen. Sie müssen Maßnahmen zum Schutz der Rechte und Pflichten des Betroffenen vorsehen. Diese werden insbesondere von ErwG. 71 S. 4 ff. DS-GVO weiter ausgeführt: Sie sollen ein Recht auf menschliches Eingreifen, auf Darlegung der Sicht des Betroffenen und dessen Entscheidungsanfechtung ermöglichen (ErwG. 71 S. 4 DS-GVO).372 Nach ErwG. 71 S. 6 DS-GVO dürfen Diskriminierungen insbesondere nicht auf die Verarbeitung sensitiver Daten nach Art. 9 Abs. 1 DS-GVO zurückgehen. (c) Rückausnahme nach Art. 22 Abs. 4 DS-GVO Art. 22 Abs. 4 DS-GVO beschreibt eine Rückausnahme.373 Danach dürfen sensitive Daten nicht Grundlage von Entscheidungen sein, die nach Art. 22 Abs. 2 DS-GVO ausnahmsweise zulässig sind. Die Rückausnahme soll ausdrücklich nur dann greifen, wenn die Verarbeitung der sensitiven Daten nicht bereits durch eine qualifizierte Einwilligung (Art. 9 Abs. 1 lit. a DS-GVO) oder durch unions- oder mitgliedstaatliches Recht (Art. 9 Abs. 1 lit. g DSGVO) legitimiert wird und schützende Maßnahmen getroffen wurden. (3) Rechtsfolgen für Persönlichkeitsprofile (a) Akkumulierung der Daten Die Akkumulierung besteht aus der Ansammlung und Strukturierung von Daten. Bei dieser müsste es sich um eine Entscheidung im Sinne des Art. 22 Abs. 1 DS-GVO handeln. Die Akkumulierung ist aber weder abschließend noch hat sie eine gestaltende Wirkung. Es handelt sich daher nicht um eine „Entscheidung“ im Normsinne und ist nicht verboten. Auf die Ausnahmen nach Art. 22 Abs. 2, 3 DS-GVO kommt es mithin nicht an.

371  Paal/Pauly

DS-GVO/Martini, Art. 22 Rn. 38. DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 48 ff.; Deuster, PinG 2016, 75, 78; Paal/Pauly DS-GVO/Martini, Art. 22 Rn. 39 ff. 373  BeckOK DatenSR DS-GVO/von Lewinski, Art. 22 Rn. 59; BeckOK IT-Recht/ Steinrötter, Art. 22 Rn. 26; Deuster, PinG 2016, 75, 77. 372  BeckOK

158

C. Deliktische Haftung

(b) Bildung von Persönlichkeitsprofilen Die Bildung von Persönlichkeitsprofilen besteht aus der Zusammenführung personenbezogener Daten sowie aus der Generierung neuer Erkenntnisse in Form von Daten über eine Person. Dies ist, wie bereits festgestellt, als Profiling im Sinne des Art. 4 Nr. 4 DS-GVO zu verstehen.374 Es ist damit eine Form der automatisierten Verarbeitung, auf der eine, den Betroffenen unterwerfende, erheblich beeinträchtigende Entscheidung nicht ausschließlich beruhen darf (Art. 22 Abs. 1 DS-GVO). Profiling, beziehungsweise Profilbildung, ist als Vorstufe nicht verboten. Dies gilt jedenfalls so lange, wie Profiling eine Entscheidung nur vorbereitet, diese aber nicht automatisiert trifft.375 Verbotsgegenstand ist die Entscheidung, nicht die automatisierte Verarbeitung. Dass die Automatisierung verboten sei, wird zwar durchaus vereinzelt vertreten,376 ist allerdings mit der Norm nicht vereinbar. Nach weit überwiegender Ansicht soll Profiling aber von einer „Entscheidung“, die den Betroffenen „erheblich beeinträchtigt“, zu unterscheiden sein.377 Schließlich wäre Profiling sonst prinzipiell verboten. Dies widerspräche ErwG. 72 DS-GVO, der Profiling prinzipiell ermöglicht.378 Die konkrete Zulässigkeit soll sich dann nach den allgemeinen Art. 5 und 6 DS-GVO bestimmen.379 Dass Profiling damit gerade keinen besonderen Einschränkungen unterworfen wird, die seinem besonderen Gefährdungspotenzial gerecht werden könnten, wird durchaus kritisiert.380 Fraglich ist daher, ob die Trennung zwischen Profiling und Entscheidung auch dann Bestand hat, wenn die Generierung oder Zuordnung neuer personenbezogener Daten bereits als Entscheidung im Sinne der Norm gelten kann. Dafür spricht, dass sich ein personenbezogenes Datum aus einer, oben als Entscheidung verortete, Wenn-Dann-Folge ergeben kann. Beispielsweise kann die Affinität zu einem Produkt aus der hohen Besuchszahl entsprechender Webseiten abgeleitet werden. Es handelt sich bei der Generierung neuer 374  Siehe

oben Abschnitt C.I.1.b)dd)(5). RDV 2017, 3, 6. 376  Taeger, ZRP 2016, 72, 74 f. 377  Eschholz, DuD 2017, 180, 184; Kugelmann, DuD 2016, 566, 569; Richter, DuD 2016, 581, 585; Spindler, GRUR-Beilage 2014, 101, 106. 378  Wybitul DS-GVO/Draf, Art. 21, 22 Rn. 21. 379  BeckOK DatenSR DS-GVO/Schild, Art. 4 Rn. 65; Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil  3 Rn. 66; Eschholz, DuD 2017, 180, 184; Wybitul DSGVO/Draf, Art. 21, 22 Rn. 21; Kugelmann, DuD 2016, 566, 569 f.; Moos/Rothkegel, ZD 2016, 561, 568; Paal/Pauly DS-GVO/Martini, Art. 22 Rn. 23; Richter, DuD 2016, 581, 585; Schantz, NJW 2016, 1841, 1844; Spindler, GRUR-Beilage 2014, 101, 106. 380  Kugelmann, DuD 2016, 566, 570; Moos/Rothkegel, ZD 2016, 561, 567 f.; Schantz, NJW 2016, 1841, 1844. 375  Taeger,



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO159

Daten auch nicht um die bloße Strukturierung eines Datensatzes, sondern um dessen Auswertung, was ebenfalls für die Annahme einer Entscheidung spricht. Die Verordnung zieht aber eine Trennlinie zwischen Profiling und den auf Profiling basierenden Entscheidungen. So soll nach Art. 35 Abs. 3 lit. a DS-GVO eine Datenschutz-Folgenabschätzung insbesondere dann erforderlich sein, wenn Profiling ausgeführt wird, welches Grundlage der Bewertung persönlicher Aspekte ist, welche ihrerseits als Grundlage für Entscheidungen diene. Hier wird zwischen Profiling und Entscheidungen deutlich unterschieden.381 Auch die Legaldefinition in Art. 4 Nr. 4 DS-GVO nimmt in die Beschreibung von Profiling das Treffen von Entscheidungen nicht auf. Art. 22 Abs. 1 DS-GVO bestimmt schließlich selbst, dass die Entscheidung auf einer automatisierten Verarbeitung wie Profiling „beruht“. Die Trennung zwischen Profiling und Entscheidung hat damit Bestand, Profiling ist keine Entscheidung im Sinne des Art. 22 Abs. 1 DS-GVO. Selbst wenn man in der Bildung von Persönlichkeitsprofilen das automatisierte Treffen von Entscheidungen sähe, würde dies nicht zwingend zu einem Verbot nach Art. 22 Abs. 1 DS-GVO führen. Als rein tatsächlicher Vorgang müssten die Entscheidungen den Betroffenen erheblich beeinträchtigen, um dem Verbot zu unterfallen. Eine erhebliche Beeinträchtigung liegt, wie oben festgestellt, vor, wenn eine negative Folge wirtschaftlicher oder persönlicher Art mit gewissem Ausmaß eintritt. In Betracht kommt hier nur Letztere. Die Entscheidung der Erzeugung oder Zuordnung von personenbezogenen Daten müsste also eine persönliche Konsequenz für den Betroffenen haben, die messbar ist. Eine andere, als die des Informationszugewinns für den Verarbeitenden ist aber nicht erkennbar. Ein solcher wirkt sich ausschließlich mittelbar auf den Betroffenen aus. Die Auswirkungen auf den Betroffenen können erst eintreten, wenn das Persönlichkeitsprofil verwendet wird. Eine mittelbare Auswirkung reicht aber nicht aus, um die Verbotsfolge auszulösen. Die bloße Bildung von Persönlichkeitsprofilen ist daher nicht nach Art. 22 Abs. 1 DS-GVO unzulässig. Die Ausnahmen nach Art. 22 Abs. 2, 3 DS-GVO können auch nicht vorsorglich geprüft werden, weil es sich bei der Profilbildung nicht um eine „Entscheidung“ handelt. (c) Verwendung von Persönlichkeitsprofilen Persönlichkeitsprofile können etwa zur Werbung, zum Scoring oder zum Voter Targeting verwendet werden. Dies könnte eine nach Art. 22 Abs. 1 DSGVO verbotene automatisierte und erheblich beeinträchtigende Einzelfallent381  Paal/Pauly

DS-GVO/Martini, Art. 22 Rn. 17b.

160

C. Deliktische Haftung

scheidung sein. Den Verwendungsmöglichkeiten gemein ist, dass der Entschluss, ein Persönlichkeitsprofil in einer bestimmten Art zu verwenden, grundsätzlich eine gestaltende und abschließende Wirkung hat und damit eine Entscheidung im Normsinne darstellt. Die Verwendungsentscheidungen werden, wie schon die Akkumulierung und die Bildung, häufig ausschließlich auf automatisierter Verarbeitung beruhen. So könnte ein Verantwortlicher veranlassen, dass ohne weiteres Zutun Persönlichkeitsprofile mit bestimmten Eigenschaften einen gewissen Scorewert ausgeben sollen. Es könnten dadurch die Betroffenen auf eine bestimmte Art beworben oder als Wähler angesprochen werden. Ein menschlicher Beitrag wäre nicht notwendig. Das eventuelle Ausüben einer Überwachungs- und Kontrollfunktion würde, wie oben erläutert, am Merkmal der Automatisierung nichts ändern. Weil in den Verwendungsszenarien Betroffene häufig keine Möglichkeit der Einwirkung auf die Entscheidung haben, wären sie ihr auch unterworfen. Fraglich ist, ob Scoring den Betroffenen erheblich beeinträchtigt oder ihm gegenüber eine rechtliche Wirkung entfaltet. Werden Persönlichkeitsprofile dazu verwendet, einen Scorewert zu erstellen, mit dem ein Online-Kreditantrag abgelehnt wird, könnte dies vom Verbot umfasst sein. Ein Scorewert selbst ist aber, obwohl automatisiert generiert, keine Entscheidung382 und hat keine messbare wirtschaftliche oder persönliche Folge für den Betroffenen. Die Verwendung von Persönlichkeitsprofilen für die Erstellung von Scorewerten ist also nicht beeinträchtigend und entfaltet keine rechtliche Wirkung. Die Beeinträchtigung und die rechtliche Wirkung entstehen, wen ein entsprechender Antrag abgelehnt wird. Wird der Antrag von einer natürlichen Person abgelehnt, ist diese Ablehnung zwar beeinträchtigend, aber nicht automatisiert im Normsinne und nicht vom Verbot betroffen. Wird hingegen der Scorewert seinerseits automatisiert genutzt, könnte lediglich diese Nutzung dem Verbot des Art. 22 Abs. 1 DS-GVO unterfallen. Dann wird aber nicht das Persönlichkeitsprofil verwendet, sondern der Scorewert. Diese erweiterte Verarbeitungskette ist hier nicht Gegenstand. Auch bei Werbung oder Voter Targeting lassen sich keine anderen persönlichen Folgen ausmachen als die, dass der Betroffene die werbenden Botschaften konsumiert. Werbung und andere, lediglich mittelbare Folgen sind keine Beeinträchtigungen im Normsinne. Mit dem Ausmaß einer Ablehnung eines Kredit- oder Versicherungsantrages lässt sich dies auch nicht vergleichen. Das Verbotsgesetz des Art. 22 Abs. 1 DS-GVO greift bei ihnen nicht. Wenn man in der Profilverwendung eine unzulässige automatisierte Entscheidung im Sinne des Art. 22 Abs. 1 DS-GVO sehen würde, käme es auf Art. 22 Abs. 2 DS-GVO an. Lit. a stellt auf ihre Vertragserforderlichkeit ab. 382  Taeger/Gabel

DS-GVO/Taeger, Art. 22 Rn. 37.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO161

Diese ist nach Art. 6 Abs. 1 lit. b DS-GVO nicht gegeben. Insoweit wird auf die unten geführte Argumentation verwiesen.383 Lit. b verweist auf die Einwilligung. Auch hier kann auf das unten gefundene Ergebnis verwiesen werden.384 Dem ist nur hinzuzufügen, dass sich die Einwilligung ausdrücklich auf die automatisierte Einzelentscheidung beziehen muss. (4) Zusammenfassung Art. 22 DS-GVO Persönlichkeitsprofile werden von Art. 22 Abs. 1 DS-GVO nicht verboten. Der Akkumulierung personenbezogener Daten und der Bildung von Persönlichkeitsprofilen mangelt es bereits an einer Entscheidungsqualität. Die Verwendung von Persönlichkeitsprofilen in Form von Werbung und Voter Tar­ geting sind nicht erheblich beeinträchtigend oder entfalten keine rechtliche Wirkung. Dies gilt auch für die Verwendung für Scorewerterstellungen, da diese die tatsächliche Entscheidung nur vorbereiten. bb) Widerspruchsrecht, Art. 21 DS-GVO Art. 21 DS-GVO gesteht dem Betroffenen ein Widerspruchsrecht zu, wenn eine Verarbeitung auf Art. 6 Abs. 1 lit. e oder f DS-GVO beruht und der Betroffene Gründe darlegt, die sich aus seiner besonderen Situation ergeben (Art. 21 Abs. 1 DS-GVO). Dies soll ausdrücklich auch bei Profiling gelten. Verarbeitungen, die nach Art. 6 Abs. 1 DS-GVO zunächst rechtmäßig sind, können nach Art. 21 DS-GVO unzulässig werden.385 Der Verantwortliche kann hingegen geltend machen, dass eigene, zwingende Gründe oder Rechtsansprüche entgegenstehen und überwiegen (Art. 21 Abs. 1 S. 1 DS-GVO). Direktwerbung kann der Betroffene nach Art. 21 Abs. 2, 3 DS-GVO immer widersprechen, ohne dass der Verantwortliche etwas Gegenteiliges geltend machen könnte. Schließlich besteht nach Art. 21 Abs. 6 DS-GVO ein Widerspruchsrecht gegen die Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken. Wenn trotz eines wirksamen Widerspruchs die Verarbeitung fortgesetzt wird, liegt darin ein Verstoß gegen die Verordnung im Sinne des Art. 88 Abs. 1 DS-GVO.386

383  Siehe

unten Abschnitt C.I.1.e)bb)(4). unten Abschnitt C.I.1.e)aa)(5). 385  BeckOK DatenSR DS-GVO/Forgó, Art. 21 Rn. 2; Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 2; 45; Taeger/Gabel DS-GVO/Munz, Art. 21 Rn. 18. 386  BeckOK DatenSR DS-GVO/Forgó, Art. 21 Rn. 2; Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 46. 384  Siehe

162

C. Deliktische Haftung

(1) Anforderungen (a) Widerspruchsrecht nach Abs. 1 Ob ein Widerspruchsrecht nach Art. 21 Abs. 1 DS-GVO besteht, hängt zunächst davon ab, ob der Verantwortliche mit der Verarbeitung Rechtsansprüche im Normsinne verfolgt. Dies wird hier zunächst geprüft. Ist das nicht der Fall, ist eine mehrstufige Prüfung erforderlich. (aa) Rechtsansprüche Das Widerspruchsrecht besteht nicht, wenn die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient. Die Abweisung auf Grundlage von Rechtsansprüchen geht der Prüfung von „zwingenden schutzwürdigen Gründen“ und den sonstigen Voraussetzungen des Art. 21 Abs. 1 DS-GVO vor und ist eine vorrangig zu prüfende spezielle Regelung.387 Die Rechtsansprüche müssen nicht mit den Gründen abgewogen werden, die sich aus der besonderen Situation des Betroffenen ergeben. Das ergibt sich aus Art. 21 Abs. 1 S. 2 Alt. 2 DS-GVO. Nach seinem Wortlaut kann die Verarbeitung fortgesetzt werden, wenn die „zwingenden schutzwürdigen Gründe […] überwiegen“, oder sie auf Rechtsansprüche gestützt werden kann. Letztere sind also ausdrücklich von dem Abwägungserfordernis ausgenommen.388 Als spezielle Regelung ist das Stützen auf Rechtsansprüche deshalb vorrangig zu prüfen. Die Rechtsansprüche müssen materiell-rechtliche Ansprüche sein, wozu auch außergerichtliche und vorgerichtliche Verfahrensschritte zählen. Zu denken ist beispielsweise an Zahlungsansprüche des Verantwortlichen gegen den Betroffenen. Die Rechtsansprüche müssen glaubhaft gemacht werden, was über reines Behaupten hinausgeht.389 Kein solcher Anspruch sind die Rechtmäßigkeitstatbestände des Art. 6 Abs. 1 lit. e und f DS-GVO selbst.390 Das Widerspruchsrecht soll bei diesen Rechtmäßigkeitstatbeständen gerade möglich sein. Auch müssen solche Rechtsansprüche hier ausgeschlossen sein, die sich aus dem Vertrag ergeben. Von einer Verarbeitung im Sinne des Art. 6 Abs. 1 lit. b DS-GVO, die für den Vertrag erforderlich ist, wären sie nicht zu trennen.

387  Paal/Pauly

DS-GVO/Martini, Art. 21 Rn. 40. DatenSR DS-GVO/Forgó, Art. 21 Rn. 14. 389  Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 42. 390  BeckOK DatenSR DS-GVO/Forgó, Art. 21 Rn. 14; Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 44. 388  BeckOK



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO163

(bb) Mehrstufige Prüfung (α) Verarbeitung nach Art. 6 Abs. 1 lit. e oder f DS-GVO Macht der Verantwortliche keine Rechtsansprüche, sondern „zwingende schutzwürdige Gründe“ geltend, ist eine mehrstufige Prüfung erforderlich.391 Zunächst ist zu prüfen, ob die Verarbeitung auf Art. 6 Abs. 1 lit. e oder f DS-GVO gestützt wurde. Keine Voraussetzung ist, dass auch das Einhalten der Voraussetzungen von Art. 6 Abs. 1 lit. e oder f DS-GVO dargelegt werden.392 Auf sie kommt es nicht an. Selbst wenn deren Voraussetzung im konkreten Fall nicht vorliegen würden, kann der Betroffene also sein Widerspruchsrecht geltend machen. Schließlich ist der Schutzbedarf dann noch größer.393 Die Erwähnung von Profiling hat indes keine nennenswerte Folge394 und hat höchstens eine klarstellende Funktion.395 Ist die Verarbeitung nicht nur auf Art. 6 Abs. 1 lit. e oder f, sondern gleichzeitig auch auf andere Erlaubnistatbestände des Art. 6 Abs. 1 DS-GVO gestützt, könnte ein Widerspruchsrecht nach Art. 21 Abs. 1 DS-GVO ausgeschlossen sein.396 Zwischen den lit. e und f auf der einen und den lit. a–d auf der anderen Seite bestehen nämlich wertmäßige Unterschiede: Erstere dienen Allgemeininteressen, letztere Individualinteressen.397 Dass die lit. a–d Individualinteressen dienen, ist daran erkennbar, dass sie sich auf konkrete Situationen beziehen. Bei lit. a geht es um eine konkrete Einwilligung, bei lit. b um einen spezifischen Vertrag, bei lit. c um eine bestimmte rechtliche Verpflichtung und bei lit. d um einzelne lebenswichtige Interessen. Art. 6 Abs. 1 lit. e und f DS-GVO verfolgen hingegen Allgemeininteressen, da sie „öffentliches“ oder „berechtigtes“ Interesse voraussetzen, was eine abstrakte Betrachtung verlangt. Mit der Beschränkung des Widerspruchsrechts auf lit. e und f könnte dieser Unterscheidung Rechnung getragen worden sein. Dies hätte allerdings zur Folge, dass der Verantwortliche nur noch einen weiteren Erlaubnistatbestand angeben müsste und etwa die Vertragserforderlichkeit behauptet. Wollte der Betroffene sein Widerspruchsrecht nach Art. 21 Abs. 1 DS-GVO ausüben, müsste er darlegen, dass der weitere Erlaubnistatbestand nicht greife, sondern ausschließlich der des öffentlichen bzw. berechtigten Interesses. Es würde aber auch die Wahrnehmung des Widerspruchsrechts 391  BeckOK

DatenSR DS-GVO/Forgó, Art. 21 Rn. 8 ff. DS-GVO/Martini, Art. 21 Rn. 27. 393  Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 24 ff. 394  Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 17. 395  BeckOK DatenSR DS-GVO/Forgó, Art. 21 Rn. 18. 396  BeckOK DatenSR DS-GVO/Forgó, Art. 21 Rn. 16 f. 397  Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 45a. 392  Paal/Pauly

164

C. Deliktische Haftung

erheblich erschweren, weil der Betroffene dazu Einblick in die Verarbeitungstätigkeiten benötigen würde. Diesen wird er regelmäßig nicht haben sondern sich erst verschaffen müssen. Er würde auch in die Situation gebracht, dass Nichtvorliegen von Erlaubnistatbeständen darlegen zu müssen. Dabei obliegt dies nach der allgemeinen Rechenschaftspflicht des Art. 5 Abs. 2 DS-GVO dem Verantwortlichen. Eine Einschränkung ist daher abzulehnen. Das Widerspruchsrecht nach Art. 21 Abs. 1 DS-GVO greift auch, wenn die Verarbeitung neben Art. 6 Abs. 1 lit. e, f DS-GVO auch auf andere Erlaubnistatbestände gestützt wird. (β) Gründe, die sich aus der besonderen Situation des Betroffenen ergeben Auf der zweiten Ebene sind die „Gründe, die sich aus ihrer besonderen Situation ergeben“ (Art. 6 Abs. 1 S. 1 HS. 1), zu untersuchen, auf die der Betroffene seinen Widerruf stützt. Hierbei kann es sich um allgemeine Interessen, Grundrechte und Grundfreiheiten398 oder Persönlichkeitsrechte handeln.399 Diese sind bereits Bestandteil der Abwägung nach Art. 6 Abs. 1 lit. f DS-GVO. Mit ihnen ein Widerspruchsrecht zu begründen, läuft Gefahr, den Erlaubnistatbestand auszuhöhlen.400 Wie beide Normen in Beziehung zueinanderstehen, ist daher zu untersuchen. Das Widerspruchsrecht dient dazu, so betonen es der Normwortlaut und ErwG. 69 S. 2 DS-GVO, die Beweislast auf den Verantwortlichen zu verschieben. Während der Betroffene seine gegen die Verarbeitung sprechenden Gründe nur darlegen muss, muss der Verantwortliche das Überwiegen seiner für die Verarbeitung sprechenden Gründe „nachweisen“. Während ein Berufen auf den Erlaubnistatbestand mit einer entsprechenden Beweislast einher geht, ist dies bei dem Widerspruchsrecht nicht der Fall. Des Weiteren sollen die Interessen beim Widerspruch anders zu gewichten sein. Maßgeblich sind hier personalisierte Besonderheiten und atypische Konstellationen. Bei einem allgemeinen Rechtfertigungsgrund ist dies anders. Er ist vom Verantwortlichen auf Vorgänge anzuwenden, die er in der Regel nicht nur für einen einzelnen Betroffenen aufsetzt, sondern für eine Vielzahl. Daher ist es dort ausreichend, wenn der Verantwortliche ein berechtigtes Interesse an der Verarbeitung hat. Außergewöhnliche Umstände des Betroffenen, die ihn von anderen Betroffenen unterscheiden, bleiben in Art. 6 Abs. 1 lit. f DS-GVO unerwähnt. Stattdessen wird pauschal auf Interessen, Grundrechte und Grundfreiheiten rekurriert. Das ist ein anderer Maßstab.401 398  Wybitul

DS-GVO/Draf, Art. 21, 22 Rn. 11. DS-GVO/Martini, Art. 21 Rn. 30. 400  Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 31. 401  WP 217, S. 45. 399  Paal/Pauly



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO165

Daraus ergibt sich, dass die persönlichen Gründe des Widerspruchsrechts sich nicht aus der Verarbeitungssituation ergeben dürfen, sondern sie müssen sich aus der Betroffenensituation ergeben.402 Als Beispiel werden Geschäftsgeheimnisse und familiäre Situationen angeführt.403 Denkbar sind auch Diskriminierungserfahrungen oder das Ausüben kritischer Gesellschaftsfunktionen wie Journalismus. Dass die Gründe ausgeführt werden, soll ausreichend sein.404 (γ) Zwingende schutzwürdige Gründe des Verantwortlichen Gegen die persönlichen Gründe kann der Verantwortliche, auf der dritten Prüfebene, „zwingende schutzwürdige Gründe“ (Art. 21 Abs. 1 S. 2 Alt. 1 DS-GVO) anführen. Ihm obliegt insoweit die Beweislast.405 Hierbei handelt es sich um eigene Interessen an der Verarbeitung.406 Sie sind eng auszu­ legen,407 schließlich handelt es sich um eine Ausnahme zum Widerspruchsrecht und Ausnahmen sind prinzipiell eng auszulegen. Die Beschränkung auf „zwingende“ schutzwürdige Gründe des Verantwortlichen schließt zunächst willkürliche Gründe aus.408 Zudem ist Voraussetzung, dass die legitimen Ziele der Verarbeitung nicht anders erreicht werden können.409 Finanzielle Mehrkosten sollen dabei hinzunehmen sein, solange sie geringfügig sind.410 Die Gründe sind nur dann „schutzwürdig“, wenn sie legitim sind, das Unions­recht ihnen also nicht entgegensteht.411 Wie bei der Beurteilung der Legitimität des Verarbeitungszwecks, könnte auch hier auf die Erlaubnistatbestände des Art. 6 Abs. 1 lit. e oder f DS-GVO zurückgegriffen werden.412 Das ist aber als zirkulär abzulehnen, weil diese Erlaubnistatbestände bereits einschlägig sein müssen, um überhaupt den Anwendungsbereich des Widerspruchsrechts auslösen zu können.

402  BeckOK

DatenSR DS-GVO/Forgó, Art. 21 Rn. 8. DS-GVO/Martini, Art. 21 Rn. 30 f. 404  BeckOK DatenSR DS-GVO/Forgó, Art. 21 Rn. 8. 405  Ehmann/Selmayr DS-GVO/Kamann/Braun, Art. 21 Rn. 26. 406  Wybitul DS-GVO/Draf, Art. 21, 22 Rn. 12. 407  Kugelmann, DuD 2016, 566, 569. 408  Vgl. Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 33. 409  BeckOK DatenSR DS-GVO/Forgó, Art. 21 Rn. 12; Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 37. 410  BeckOK DatenSR DS-GVO/Forgó, Art. 21 Rn. 12. 411  Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 36. 412  Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 36. 403  Paal/Pauly

166

C. Deliktische Haftung

(δ) Abwägung Schließlich müssen die Gründe des Verantwortlichen mit denjenigen des Betroffenen abgewogen werden.413 Die Gründe des Verantwortlichen überwiegen nicht schon dann, wenn die Verarbeitung Geschäftsinteressen des Unternehmens dient oder erhebliche bürokratische Anstrengungen unternommen werden müssen, um die Datenverarbeitung und insbesondere das Profiling zu beenden.414 Macht der Verantwortliche keine darüber hinausgehenden Gründe geltend, könnte es sich um eine „Non liquet“-Lage handeln. In einer solchen Lage fällt die nach Art. 21 Abs. 1 DS-GVO vorzunehmende Abwägung zugunsten des Betroffenen aus.415 Das ergibt sich aus Wortlaut und Telos der Norm, nach welchen die Gründe des Verantwortlichen überwiegen müssen.416 Auch Art. 6 Abs. 1 lit. f DS-GVO erfordert eine Abwägung der widerstreitenden Interessen. Hier überwiegen aber in einer „Non liquet“Lage die Interessen des Verantwortlichen mit der Folge der Rechtmäßigkeit der Verarbeitung.417 Wird ein Widerspruch nach Art. 21 Abs. 1, 2 oder 6 DS-GVO wirksam eingelegt, ist der Verantwortliche verpflichtet, die Daten zu löschen.418 Das ergibt sich aus Art. 17 Abs. 1 lit. c DS-GVO, welcher ausdrücklich das Widerspruchsrecht zur Voraussetzung hat.419 Jede weitere Verarbeitung ist rechtswidrig420 und ein Verstoß gegen die Verordnung. Auch für weitere (Sekundär-)Zwecke dürfen sie nicht verarbeitet werden.421 (b) Widerspruchsrecht nach Abs. 2, 3 Art. 21 Abs. 2 HS. 1 DS-GVO gesteht ein Widerspruchsrecht gegen jede Verarbeitung personenbezogener Daten zu, die der Direktwerbung dienen, diese also ausdrücklich zum Zweck haben. Unter „Direktwerbung“ ist die unmittelbare Ansprache zur Absatzsteigerung zu verstehen, beispielsweise 413  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil  4 Rn. 24; Wybitul DSGVO/Draf, Art. 21, 22 Rn. 12. 414  Kugelmann, DuD 2016, 566, 569. 415  Vgl. Sydow DS-GVO/Reimer, Art. 6 Rn. 65. 416  BeckOK DatenSR DS-GVO/Forgó, Art. 21 Rn. 10; Ehmann/Selmayr DS-GVO/ Kamann/Braun, Art. 21 Rn. 26; Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 38. 417  Paal/Pauly Datenschutzrecht/Martini, Art. 21 Rn. 33. 418  BeckOK DatenSR DS-GVO/Forgó, Art. 21 Rn. 2; Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 46. 419  Wybitul DS-GVO/Draf, Art. 21, 22 Rn. 18; Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 46. 420  Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 45. 421  Wybitul DS-GVO/Draf, Art. 21, 22 Rn. 19.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO167

Prospekte, E-Mails oder SMS.422 Dem Wortlaut nach kann Verarbeitungen widersprochen werden, die dazu dienen, Direktwerbung zu betreiben („[…] Daten verarbeitet, um Direktwerbung zu betreiben […]“, Art. 21 Abs. 2 DSGVO). Aus der Verbindung „um“ ist erkennbar, dass nicht nur die Direktwerbung selbst die Widerspruchsmöglichkeit auslöst, sondern auch vorausgehende Verarbeitungen, die mit der Direktwerbung „zusammenhäng[en]“ (ErwG. 70 S. 1 DS-GVO). Der Begriff des Zusammenhangs ist nicht legaldefiniert. Er kann aber nur solche Daten umfassen, für welche Direktwerbung als Zweck festgelegt wurde. Andernfalls wäre die Verarbeitung für Direktwerbung von vorneherein wegen Verstoßes gegen die Zweckbindung unzulässig, und ein Widerspruch weder nötig noch möglich. Zudem würde es am Merkmal des „Dienens“ fehlen. Als Vorstufen sind daher das konkrete Beschaffen der Daten für die Direktwerbung423 sowie allgemein die Verarbeitung für personalisierte Werbung424 vom Widerspruchsrecht nach Art. 21 Abs. 2, 3 DS-GVO umfasst. Eine Interessenabwägung soll nicht mehr erfolgen.425 Schließlich soll es sich beim Widerspruchsrecht nach Art. 21 Abs. 2, 3 DS-GVO um eine Privilegierung gegenüber dem Widerspruchsrecht nach Abs. 1 handeln.426 Art. 21 Abs. 2 HS. 2 DS-GVO befasst sich mit Profiling. Profiling kann widersprochen werden, soweit es mit der Direktwerbung „in Verbindung steht“. Welche Form oder Intensität diese Verbindung haben muss, wird nicht weiter erläutert. ErwG. 70 S. 1 DS-GVO sieht in Profiling nur ein Beispiel einer Verarbeitung, die mit Direktwerbung „zusammenhängt“. Letztendlich stellt Profiling ein Regelbeispiel für Verarbeitungen dar, mit denen Direktwerbung betrieben wird. Rechtsfolgen eines erfolgreichen Widerspruchs nach Abs. 2, 3 sind sowohl die Unzulässigkeit weiterer Datenverarbeitungen427 als auch eine Löschpflicht.428 Diese ergibt sich aus Art. 17 Abs. 1 lit. c Alt. 2 DS-GVO, der sich ausdrücklich auf den Direktwerbungs-Widerspruch bezieht. Dementsprechend wird auch verlangt, dass die Daten auch zu anderen Zwecken als Direktwerbung nicht mehr verarbeitet werden dürfen.429 Dagegen wird zwar 422  BeckOK DatenSR DS-GVO/Forgó, Art. 21 Rn. 22; Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 48. 423  Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 49. 424  Wybitul DS-GVO/Draf, Art. 21, 22 Rn. 15; Kugelmann, DuD 2016, 566, 569. 425  BeckOK DatenSR DS-GVO/Forgó, Art. 21 Rn. 20; Wybitul DS-GVO/Draf, Art. 21, 22 Rn. 14; Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 50. 426  Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 48a. 427  Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 2; 51. 428  Wybitul DS-GVO/Draf, Art. 21, 22 Rn. 18; Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 53. 429  Wybitul DS-GVO/Draf, Art. 21, 22 Rn. 19.

168

C. Deliktische Haftung

eingewendet, dass das Widerspruchsrecht nur die Verarbeitung für bestimmte Zwecke untersage und übrige Zwecke nicht beträfe.430 Träfe das aber zu, könnte eine Löschpflicht keine Rechtsfolge des Widerspruchsrechts sein, die ja die weitere Verarbeitung zu übrigen Zwecken unmöglich macht. Die Löschpflicht ergibt sich aber, wie oben dargelegt, ausdrücklich aus dem Gesetz. Es ist also jedwede weitere Datenverarbeitung unzulässig. (c) Widerspruchsrecht nach Abs. 6 Art. 21 Abs. 6 DS-GVO gewährt ein Widerspruchsrecht, wenn die Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Art. 86 DS-GVO verarbeitet werden. Die Bedeutung dieser privilegierten Zwecke wurde oben erläutert.431 (2) Rechtsfolgen für Persönlichkeitsprofile Wird ein Widerspruch ausgesprochen, ist die gegenständliche Verarbeitung unzulässig (Art. 21 Abs. 1, 2 DS-GVO). Sie stellt dann einen Verstoß gegen die Verordnung dar, für den unter anderem nach Art. 82 Abs. 1 DS-GVO Schadensersatz geltend gemacht werden kann. Solange aber nicht wirksam widersprochen wurde, ist die Verarbeitung zulässig und kein Verordnungsverstoß. (a) Akkumulierung der Daten Zunächst ist zu prüfen, ob ein Widerspruch wegen Verfolgung von Rechtsansprüchen wegen Art. 21 Abs. 1 S. 2 Alt. 2 DS-GVO ausgeschlossen ist. Sofern Daten akkumuliert werden, ist aber nicht ersichtlich, welchen Rechtsansprüchen dies dienen soll. Soweit die Akkumulation auf anderen Erlaubnistatbeständen als Art. 6 Abs. 1 lit. e oder f beruht, ist der Widerspruch nach Art. 21 Abs. 1 DS-GVO verwehrt und daher hier nicht weiter zu untersuchen. Sollte die Akkumulierung allerdings auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO gestützt sein, kommt es darauf an, ob die besondere persönliche Situation des Betroffenen gegen die Akkumulierung für ein Persönlichkeitsprofil sprechen könnte. Auf die prinzipielle Zulässigkeit der Akkumulation kann es hier nicht ankommen, da diese bereits im Rahmen der Erlaubnisnorm bewer430  BeckOK DatenSR DS-GVO/Forgó, Art. 21 Rn. 23; Ehmann/Selmayr DSGVO/Kamann/Braun, Art. 21 Rn. 55; Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 52. 431  Siehe oben Abschnitt C.I.1.c)dd)(5)(b)(ee).



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO169

tet wird. Auch die sich aus ihrem Wesen ergebenden, abstrakten Risiken der Akkumulation können hier nicht ohne Weiteres berücksichtigt werden, da die Widerspruchsgründe persönlich sein müssen. Beispiele sind Geschäftsgeheimnisse, die familiäre Situation oder Diskrimnierungen. Durch Akkumulierung personenbezogener Daten könnten Geschäftsgeheimnisse aufgedeckt, familiäre Situationen belastet oder Diskriminierung ermöglicht werden. Wie derlei Umstände aber im Einzelnen ausgestaltet werden müssten, kann allgemeingültig nicht festgelegt werden. Für einen Widerspruch nach Art. 21 Abs. 2, 3 DS-GVO müsste die Akkumulierung von Daten für ein Persönlichkeitsprofil mit Direktwerbung zusammenhängen. Nach der Akkumulierung sind zwar noch die wesentlichen Zwischenschritte der Profilbildung und -verwendung notwendig, um Direktwerbung betreiben zu können. Die Akkumulierung ist aber notwendige Vorstufe. Sie beschafft die Daten für die personalisierte Werbung. Der Zusammenhang im Normsinne besteht daher. Zudem steht Akkumulierung mit Profiling in Verbindung. Einschränkend gilt hier, dass bereits bei der Akkumulierung der Zweck der Werbung für die Datenverarbeitungen festgelegt sein muss. Der Zusammenhang zwischen Datenakkumulation und Direktwerbung ist dann gegeben. Gegen die Akkumulkierung ist dann ein Widerspruch nach Art. 21 Abs. 2, 3 DS-GVO möglich, ohne dass abgewogen werden muss. Die betroffenen Daten dürfen nicht für andere Zwecke verwendet und müssen gelöscht werden. Dies muss auch dann gelten, wenn die Daten noch für andere Ziele eingesetzt werden könnten als Direktwerbung, also etwa Scoring oder Voter Targeting. (b) Bildung von Persönlichkeitsprofilen Welcher Rechtsanspruch mit der Bildung von Persönlichkeitsprofilen geltend gemacht, ausgeübt oder verteidigt werden könnte, ist nicht erkennbar. Die Bildung kann, muss aber nicht, auf dem Erlaubnissatz nach Art. 6 Abs. 1 lit. f DS-GVO beruhen. Wie bei der Akkumulierung liegt ein persönlicher, gegen die Verarbeitung sprechender Grund nicht in der abstrakten Gefahr für die Grundrechte und -freiheiten des Betroffenen. Die allgemeine Rechtsstellung des Betroffenen ist Gegenstand der Abwägung des Art. 6 Abs. 1 lit. f DS-GVO. Würde ein Widerspruch allein auf die allgemeine Rechtsposition gestützt werden können, wäre nie Art. 6 Abs. 1 lit. f DS-GVO maßgeblich, sondern stets Art. 21 Abs. 1 DS-GVO. Dieses Ergebnis wäre mit Systematik, Telos und Verordnungsgeberintention nicht vereinbar. Zur Wahrnehmung des Widerspruchsrechts muss daher mehr geltend gemacht werden als die Gefährdung von Grundrechten und -freiheiten durch die Profilbildung. Ausreichend könnte sein, wenn in einem konkreten Fall viele verschiedene Dienste auf dasselbe Persönlichkeitsprofil zugreifen und dies für den Betroffenen

170

C. Deliktische Haftung

negativ ist. Ein Zugriff auf ein Profil ist aber eine Modalität der Verwendung. Es wäre nicht die Bildung des Persönlichkeitsprofils ausschlaggebend, sondern der Verarbeitungskomplex der Verwendung. Auch die Möglichkeit eines rechtswidrigen Einsatzes des Persönlichkeitsprofils ist stets gegeben und ergibt sich nicht aus einer konkreten Gefährdung des Betroffenen. Sofern bereits durch die Profilbildung bestimmte Ausnutzungspotenziale entstehen, kann dies nicht hier allgemeingültig bewertet werden. Auf die Ausübung eines Widerspruchsrecht nach Art. 21 DS-GVO wäre der Betroffene bei bereits feststehender Rechtswidrigkeit ohnehin nicht angewiesen. Soweit es allein um die Profilbildung geht, ist nicht ersichtlich, welche besonderen persön­ lichen Gründe angeführt werden könnten. Nach Art. 21 Abs. 2, 3 DS-GVO kann Verarbeitungen widersprochen werden, soweit sie mit Direktwerbung zusammenhängen. Dieser Zusammenhang war schon bei der Akkumulierung gegeben. Er besteht umso deutlicher bei der auf sie folgenden Profilbildung. Auch gegen sie kann mit den oben genannten Folgen widersprochen werden. (c) Verwendung von Persönlichkeitsprofilen Um die Widerspruchsmöglichkeit nach Art. 21 Abs. 1 DS-GVO zu eröffnen, müsste die Verwendung der Persönlichkeitsprofile auf dem berechtigten Interesse nach Art. 6 Abs. 1 lit. f DS-GVO basieren. Sie müsste weiterhin eine besondere Situation für den Betroffenen schaffen, die sich nicht in einer abstrakten Gefahr der Profilverwendung erschöpft. Die Verwendung des Persönlichkeitsprofils muss konkret nachteilig für den Betroffenen sein. Das kann, wie oben erwähnt, dann der Fall sein, wenn das Profil eines Betroffenen von vielen unterschiedlichen Stellen verwendet wird und ihn dies etwa in seiner beruflichen oder privaten Situation beeinträchtigt. Bei der Verwendung für Werbung oder Voter Targeting ist dies nicht denkbar, weil dadurch der Betroffene nicht konkret benachteiligt wird. Etwas anderes könnte gelten, wenn mehrere Kreditgeber dasselbe Persönlichkeitsprofil verwenden und dem Betroffenen stets identische, unterdurchschnittliche Konditionen anböten. Dann würde diese multiple Verwendung beim Betroffenen zu höheren finanziellen Kosten führen. In einem weiteren Scoringszenario werden aus einem Persönlichkeitsprofil bestimmte Versicherungskonditionen oder individuell angepasste Preisgestaltungen für Konsumgüter abgeleitet. Dem Betroffenen würden dann durch die mehrfache Verwendung seines Profils Handlungsmöglichkeiten genommen werden, nämlich den Abschluss bestimmter Versicherungen oder den Kauf bestimmter Güter. Abhängig vom konkreten Fall könnte dann eine besondere Situation entste-



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO171

hen, welche einen Widerspruch gegen die Profilverwendung nach Art. 21 Abs. 1 DS-GVO ermöglicht. Hat der Betroffene seine besondere Situation dargelegt, kann der Verarbeitende seinerseits „zwingende schutzwürdige Gründe“ für die Verarbeitung anführen. Die Ziele der Verarbeitung müssen legitim und nicht anders als durch die infrage stehende Verarbeitung zu erreichen sein und es darf sich nur um bloße finanzielle Mehrkosten handeln. Die Nutzung eines Scorewerts ist ein wichtiger Bestandteil für die Sicherheit und Funktionsfähigkeit von Kredit- oder Versicherungsunternehmen. Er ermöglicht es Konditionen anzubieten, die der wirtschaftlichen Situation des Kredit- oder Versicherungsnehmers entsprechen. So wird sichergestellt, dass er Forderungen bedienen kann und dass der finanzielle Zufluss beim Unternehmen planbar ist, beziehungsweise er überhaupt besteht. Die Aufrechterhaltung des Betriebs ist nicht nur ein legitimes Ziel, sondern ohne eine Bewertung der Kredit- und Versicherungsnehmer nicht möglich. Fraglich ist aber, ob die wiederholte Verwendung desselben Profils nicht bloß der Vermeidung von eigentlich zumutbaren finanziellen Mehrkosten dient. So könnte es finanzielle Vorteile bringen, sich nur des Persönlichkeitsprofils eines Anbieters zu bedienen, welches eine schlechte Versicherungsoder Kreditwürdigkeit bescheinigt, anstelle von weiteren Profilen, die eine gegensätzliche Aussage treffen. Bestehen und Nutzen einer solchen Wahlmöglichkeit hängen einerseits von der Marktsituation ab. Andererseits ist maßgeblich, inwiefern der Kredit- oder Versicherungsgeber eine Bewertung des Betroffenen auch ohne die Verwendung eines Persönlichkeitsprofils vornehmen kann. Schließlich war der Abschluss von Versicherungs- und Kreditverträgen auch schon vor dem Auftreten von Persönlichkeitsprofilen möglich. Allgemeingültig lässt sich die heutige Notwendigkeit ihrer Verwendung nicht untersuchen. Es kann nur festgehalten werden, dass es für die Profilverwendung in der Finanz- und Versicherungswirtschaft darauf ankomt, wie intensiv ein Persönlichkeitsprofil eines Betroffenen eingesetzt wird und wie sehr der Verantwortliche darauf angewiesen ist. Hierbei kann auch berücksichtigt werden, ob dasselbe Profil von verschiedenen Stellen verwendet wird. Kann ein Betroffener seinem digitalen Profil nicht mehr entkommen, könnte sich hieraus ein Widerspruchsrecht ergeben. Der Widerspruch nach Art. 21 Abs. 2, 3 DS-GVO setzt voraus, dass das Persönlichkeitsprofil für Direktwerbung verwendet werden darf, also Direktwerbung zum Zweck hat. Dann steht es mit Direktwerbung auch im Zusammenhang, wie von der Norm gefordert. Der Widerspruch ist dann möglich.

172

C. Deliktische Haftung

(3) Zusammenfassung zu Art. 21 DS-GVO Ein Widerspruch nach Art. 21 Abs. 1 DS-GVO gegen die Akkumulation von Daten für ein Persönlichkeitsprofil und dessen Bildung ist nicht möglich, weil nicht ersichtlich ist, welche konkret-persönlichen Gründe geltend gemacht werden könnten. Solche besonderen Gründe des Betroffenen können aber gegen die Verwendung von Persönlichkeitsprofilen in der Kredit- und Versicherungswirtschaft geltend gemacht werden, wenn die mehrfache Verwendung eines Persönlichkeitsprofils ihn einschränkt, indem er etwa unterdurchschnittlich schlechte Konditionen erhält. Gleichermaßen kann hier aber auch der Verarbeitende Gründe für die Verarbeitung anführen, da die Profilverwendung für den Betrieb existentiell sein kann. Abstrakt kann das Abwägungsergebnis aber nicht vorweggenommen werden. Ein Widerspruch nach Art. 21 Abs. 2, 3 DS-GVO ist sowohl gegen die Akkumulierung von personenbezogenen Daten als auch gegen die Bildung und die Verwendung von Persönlichkeitsprofilen möglich, wenn Direktwerbung als Zweck bestimmt ist. cc) Besondere Kategorien personenbezogener Daten (Art. 9 DS-GVO) Art. 9 Abs. 1 DS-GVO befasst sich mit besonderen Kategorien personenbezogener Daten, also sensitiven Daten. Die Verarbeitung von „Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“ ist nur eingeschränkt erlaubt. Sensitive Daten sagen besonders viel über den Betroffenen aus. Als solche sind sie von besonderer Relevanz für Persönlichkeitsprofile. Sensitive Daten können einerseits direkt akkumuliert werden. Andererseits können bei der Bildung von Profilen etwa online verfügbare Daten über den Musikkonsum eines Betroffenen, die etwa Video- oder Streamingplattformen sammeln, ausgewertet werden. Diese können beispielsweise ergiebig sein, wenn der Betroffene häufig Musik mit eindeutiger politischer Richtung konsumiert. Ähnlich verhält es sich mit dem Nutzen von Nachrichtenportalen, Webseiten politischer Parteien oder religiöser Gruppen. Um ein sensitives Datum zu akkumlieren, während der Profilbildung zu analysieren und zu generieren oder im Rahmen der Profilverwendung weiter zu verarbeiten, müssen die Anforderungen des Art. 9 Abs. 2 DS-GVO eingehalten werden. Von den hier genannten Tatbeständen ist vor allem Art. 9



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO173

Abs. 2 lit. a DS-GVO bedeutsam. Danach muss sich eine Einwilligung „ausdrücklich“ auf sensitive Daten beziehen. Daher müssen auch die Informationen, die über eine Verarbeitung bereitgestellt werden, auf sensitive Daten hinweisen. Wird nicht ausdrücklich eingewilligt und ist auch kein anderer Erlaubnistatbestand einschlägig, ist insbesondere eine Verarbeitung unter Berufung auf das berechtigte Interesses gemäß Art. 6 Abs. 1 lit. a DS-GVO nicht zulässig. Eine weitergehende Untersuchung Erlaubnistatbestände des Art. 9 Abs. 2 DS-GVO muss hier allerdings aus Platzgründen unterbleiben. dd) Zwischenergebnis Verstoß gegen spezielle Normen Von Art. 22 Abs. 1 DS-GVO, der die automatisierte Entscheidung im Einzelfall betrifft, wird weder die Akkumulierung personenbezogener Daten noch die Bildung oder die Verwendung von Persönlichkeitsprofilen verboten. Art. 21 Abs. 1 DS-GVO kann ein Widerspruchsrecht gegen Akkumulierung oder Profilbildung nicht ermöglichen, wohl aber unter Umständen gegen die Verwendung von Persönlichkeitsprofilen in der Kredit- oder Versicherungswirtschaft. Das Widerspruchsrecht gegen Direktwerbung aus Art. 21 Abs. 2; 3 DS-GVO kann bei entsprechender Zweckbestimmung gegen alle Verarbeitungskomplexe geltend gemacht werden. e) Verstoß gegen die Erlaubnissätze des Art. 6 Abs. 1 DS-GVO Die Verordnung postuliert mit dem Verweis auf die Notwendigkeit der Rechtmäßigkeit der Verarbeitung in Art. 5 Abs. 1 lit. a Var. 1 DS-GVO ein grundsätzliches Verbot der Verarbeitung personenbezogener Daten mit Erlaubnisvorbehalt.432 Der Annahme eines Erlaubnisvorbehalts soll zwar entgegenstehen, dass die in Art. 6 Abs. 1 DS-GVO definierten Ausnahmen inhaltlich zu weit seien, um von einem grundsätzlichen Verbot ausgehen zu können.433 Das Verbotsprinzip geht aber nicht auf die Verordnung, sondern auf Art. 8 Abs. 2 S. 1 EUGRCharta zurück.434 Hier wird ausdrücklich bestimmt, dass personenbezogene Daten nur nach Treu und Glauben, Zweckbindung und gesetzlicher Grundlage verarbeitet werden dürfen. Die „gesetzliche Grundlage“ kann sich hier nur auf einen Erlaubnisvorbehalt beziehen. Die EUGRCharta geht als Primärrecht der sekundärrechtlichen DS-GVO vor. Es handelt sich daher bei Art. 5 Abs. 1 lit. a Var. 1; 6 Abs. 1 DS-GVO um ein grundsätzliches Verbot mit Erlaubnisvorbehalt. 432  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 1; Wybitul DS-GVO/Wybitul, Teil 1 Rn. 245. 433  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 2, 11. 434  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 1.

174

C. Deliktische Haftung

Sämtliche Rechtfertigungstatbestände sind in Art. 6 Abs. 1 DS-GVO enthalten. Soweit eine Verarbeitung personenbezogener Daten nicht unter diese Norm fällt, ist sie rechtswidrig und verstößt gegen Art. 5 Abs. 1 lit. a Var. 1 DS-GVO.435 Dies ist ein Verstoß gegen die Verordnung im Sinne des Art. 82 Abs. 1 DS-GVO. Dies gilt sowohl für die Erhebung wie für Weiterverarbeitungen.436 Nach der hier vertretenen Auffassung ist daher die Rechtfertigung durch Erlaubnissätze unabhängig davon notwendig, ob die Datenverarbeitung unter das Konzept der Weiterverarbeitung des Art. 5 Abs. 1 lit. b HS. 1 DSGVO (Vereinbarkeit mit dem Primärzweck)437 oder des Art. 6 Abs. 4 DSGVO (Vereinbarkeit des Sekundärzwecks mit Primärzweck) fällt.438 Im Folgenden soll daher untersucht werden, inwieweit Persönlichkeitsprofile von Art. 6 Abs. 1 DS-GVO gedeckt sind. Relevant sind hier insbesondere die Verarbeitungen aufgrund einer Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO), zur Erfüllung eines Vertrages (Art. 6 Abs. 1 lit. b DS-GVO) oder zur Wahrnehmung eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DS-GVO). Dass dieselbe Verarbeitung von mehreren Erlaubnissätzen gerechtfertigt werden kann, ist möglich.439 Dies gilt auch, wenn sich verschiedene Verantwortliche auf verschiedene Erlaubnissätze berufen. Die Prüfung der einzelnen Erlaubnissätze wird mit einer Auslegung der Anforderungen beginnen und dabei die vorhandene Literatur berücksichtigen. Anschließend wird untersucht, ob die Verarbeitungskomplexe der Akkumulierung personenbezogener Daten, der Bildung von Persönlichkeitsprofilen und der Verwendung von Persönlichkeitsprofilen mit den Anforderungen vereinbar und damit gerechtfertigt sind. Soweit dies zu verneinen ist, liegt ein Verstoß gegen die Verordnung vor. aa) Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO) Nach Art. 6 Abs. 1 lit. a DS-GVO kann der Betroffene in die Verarbeitung seiner personenbezogenen Daten für einen oder mehrere Zwecke einwilligen. Dies ist Ausdruck grundrechtlich gesicherter Privatautonomie. So soll auch das informationelle Selbstbestimmungsrecht ausgeübt werden.440 Zur Ausübung muss der Betroffene aber fähig sein. Ist er das nicht, läuft diese Erlaubnisnorm Gefahr, zu einer rein fiktiven Legitimationswirkung zu verkom435  Wybitul

DS-GVO/Wybitul, Teil 1 Rn. 244. Datenschutzrecht/Albrecht/Jotzo, Teil 3 Rn. 53. 437  Siehe oben Abschnitt C.I.1.c)dd)(5)(b). 438  Siehe oben Abschnitt C.I.1.c)dd)(5)(c). 439  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 24; Wybitul DS-GVO/Pötters/Rauer, Art. 6 Rn. 48; Wybitul DS-GVO/Fladung/Pötters, Art. 7, 8 Rn. 15. 440  Wybitul DS-GVO/Fladung/Pötters, Art. 7, 8 Rn. 3. 436  Albrecht/Jotzo



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO175

men.441 Denn wird sie aufgrund unzureichender Kenntnis der Sachlage erteilt, suggeriert sie nur die freie Entscheidung des Betroffenen.442 Diese Gefahr muss im Folgenden berücksichtigt werden. (1) B  ei Verweigerung oder Rücknahme kein Rückgriff auf andere Erlaubnistatbestände. Vorab zu klären ist die Frage des Verhältnisses der Einwilligung zu anderen Erlaubnistatbeständen. So ist offen, ob für die Rechtfertigung von Verarbeitungen auf andere Erlaubnistatbestände zurückgegriffen werden kann, wenn die Einwilligung ausdrücklich verweigert oder sie zurückgenommen wurde. In diesen Fällen geht der Betroffene regelmäßig davon aus, dass die Verarbeitung nicht mehr stattfindet. Diese Annahme könnte schützenswert sein. Hierfür spricht, dass die Einwilligung andernfalls die Kontrolle über die Verarbeitungen nur suggerieren würde. Für den Schutz spricht auch, dass die Anwendung mehrerer Erlaubnissätze auf dieselbe Verarbeitung zu einem kohärenten Ergebnis führen muss. Das schließt aus, dass eine Verarbeitung von anderen Erlaubnis­sätzen gerechtfertigt wird, wenn dies dem erklärten Willen des Betroffenen widerspricht.443 Gegen eine Präklusion spricht wiederum die Gleichwertigkeit der Erlaubnissätze.444 Stehen alle Erlaubnissätze auf einer Stufe, kann das Ausschließen eines Erlaubnissatzes nicht andere Erlaubnissätze präkludieren. Der Einwilligung würde eine Vorrangstellung zukommen. Den übrigen Erlaubnissätzen würde zur Voraussetzung gemacht, dass die Rechtfertigung durch Einwilligung fortbestehe. Damit würde die Gleichwertigkeit der Erlaubnissätze aufgehoben werden. Gegen eine Präklusion kann weiterhin angeführt werden, dass sie den Verantwortlichen schlechter stellen würde, als wenn er auf die Einholung der Einwilligung von vorneherein verzichtet und sich ausschließlich auf die anderen Erlaubnistatbestände verlassen hätte.445 Schließlich würde er sich mit der Einwilligung der Gefahr aussetzen, bei Verweigerung oder Rücknahme der Einwilligung sich die anderen Rechtfertigungstatbestände zu verbauen und in Konsequenz überhaupt nicht mehr verarbeiten zu dürfen. Diese Folge ist allerdings nicht wünschenswert, da die Einholung der Einwilligung geför441  Vgl.

BVerfG MMR 2007, 93, 93. Simitis BDSG/Scholz/Sokol, § 4 Rn. 6. 443  Kühling/Buchner DS-GVO/Buchner/Kühling, Art. 7 Rn. 18; Kühling/Buchner DS-GVO/Buchner/Petri, Art. 6 Rn. 23; Uecker, ZD 2019, 248, 249. 444  Härting/Gössling/Dimov, ITRB 2017, 169, 171. 445  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 25. 442  Vgl.

176

C. Deliktische Haftung

dert und nicht schlechter gestellt werden soll.446 Andererseits ist die Einwilligung als Datenschutzinstrument nur dann von Gewicht, wenn ihre Verweigerung oder Rücknahme auch Konsequenzen hat. Ihre Legitimationswirkung ist sonst nicht faktisch, sondern fiktiv. Schließlich kann der Einwilligungsvorbehalt nur dann dem Datenschutz dienen, wenn er Daten auch tatsächlich schützt. Dies ist wichtiger als das Risiko des Verantwortlichen, nicht verarbeiten zu können. Das dadurch datenverarbeitende Verantwortliche schlechter gestellt werden, ist eine bewusste und legitime Entscheidung des Verordnungsgebers. Im Fall der Verweigerung oder Rücknahme ist es daher auch angezeigt, die Gleichwertigkeit der Erlaubnissätze anzutasten. Zusammenfassend ist daher festzuhalten, dass bei Verweigerung oder Rücknahme einer Einwilligung der Rückgriff auf andere Erlaubnissätze zur Rechtfertigung der infrage stehenden Verarbeitung unzulässig ist. Solange die Einwilligung aber nicht verweigert oder zurückgenommen wurde, kann die Verarbeitung von mehreren Erlaubnissätzen gerechtfertigt werden. Teilweise wird die Auffassung vertreten, dass Erlaubnissätze, wie etwa die Einwilligung, ihrerseits von einer Abwägung der berechtigten Interessen nach Art. 6 Abs. 1 lit. f DS-GVO präkludiert werden. Überwiegen die gegen die Verarbeitung sprechenden Gründe, sei der Rückgriff auf andere Erlaubnisnormen treuwidrig.447 Auch dies ist aber mit dem Hinweis auf die grundsätzliche Gleichwertigkeit und Alternativität der Erlaubnissätze abzulehnen. Auch wenn der Verantwortliche kein berechtigtes Interesse an der Datenverarbeitung haben sollte, steht es dem Betroffenen frei, in sie einzuwilligen. Dementsprechend ist auch der verwandten Ansicht, die Verweigerung oder die Unterlassung der Einwilligung bei der Interessenabwägung im Rahmen des Art. 6 Abs. 1 lit. f DS-GVO zu berücksichtigen,448 nicht zu folgen. (2) Anforderungen Nach dem Europäische Datenschutzausschuss kann ein Persönlichkeitsprofil ausschließlich dann rechtmäßig sein, wenn eine Einwilligung des Betroffenen vorliegt.449 Er begründet dies allerdings nicht weiter, es handelt sich vielmehr um eine rein wertende, wenn auch konsequent vertretene Entscheidung des Datenschutzausschusses. Wie unten gezeigt werden wird, ist diese Ansicht unzutreffend. Der Europäische Datenschutzausschuss erkennt so aber an, dass die Einwilligung in Persönlichkeitsprofile möglich ist. 446  NK

DS-GVO/Klement, Art. 7 Rn. 34. DS-GVO/Wybitul, Teil 1 Rn. 259. 448  Härting/Gössling/Dimov, ITRB 2017, 169, 171. 449  WP 203, S. 46, 63. 447  Wybitul



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO177

(a) Form, Unmissverständlichkeit, Informiertheit und Bestimmtheit Die Voraussetzungen einer wirksamen Einwilligung ergeben sich zunächst aus der Legaldefinition des Art. 4 Nr. 11 DS-GVO.450 Danach muss die Einwilligung freiwillig, für einen bestimmten Fall, informiert und unmissverständlich sein, sowie eine Erklärung oder sonstige eindeutig bestätigende Handlungen beinhalten. Auf diese Voraussetzungen wird im Folgenden eingegangen. Gesetzessystematisch ist die Einwilligung als Willenserklärung mit rechtsgeschäftlichem Charakter einzuordnen.451 Sie muss sich daher auf einen bestimmten Fall und einen bestimmten Zweck beziehen.452 Die Voraussetzung der „eindeutigen bestätigenden Handlung“ schließt Schweigen als Einwilligungsform aus. Dies wird auch von ErwG. 32 S. 2, 3 DS-GVO bekräftigt, der vorsieht, dass „[…] die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert“. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person, sollten daher keine Einwilligung darstellen. Wenn der Betroffene vollständig untätig bleibt, gibt er keine Einwilligung ab.453 Auch in dem bloßen Nutzen von Diensten des Verantwortlichen kann keine Einwilligung gesehen werden.454 Gibt er allerdings eine Einwilligung ab, kann diese eine Datenverarbeitung auch rückwirkend legitimieren. Die Rückwirkung der Einwilligung wird zwar bestritten,455 eine Willenserklärung solchen Inhalts abzugeben, ist aber von der Privatautonomie umfasst. Der Verantwortliche kann also zuerst verarbeiten und anschließend die Einwilligung des Betroffenen einholen. Ob eine Erklärung oder sonstige Handlung unmissverständlich im Sinne des Art. 4 Nr. 11 DS-GVO ist, ist als Willenserklärung aus objektiver Empfängersicht zu beurteilen. Die Einwilligung ist „informiert“, wenn der Betroffene weiß, in welche Verarbeitungen mit welchen Zwecken er einwilligt456 und ihm der Umfang der Verarbeitung bekannt ist.457 Die Informiertheit stützt sich also darauf, 450  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 32; Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil 3 Rn. 37. Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 11; Wybitul DS-GVO/Pötters/Rauer, Art. 6 Rn. 12. 451  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 10. 452  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 11. 453  Wybitul DS-GVO/Wybitul, Teil 1 Rn. 287. 454  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil 3 Rn. 39. 455  BeckOK DatenSR DS-GVO/Schild, Art. 4 Rn. 126; Taeger/Gaebel DS-GVO/ Taeger, Art. 7 Rn. 151. 456  Wybitul DS-GVO/Wybitul, Teil 1 Rn. 285. 457  Wybitul DS-GVO/Fladung/Pötters, Art. 7, 8 Rn. 18.

178

C. Deliktische Haftung

dass das Transparenzgebot aus Art. 5 Abs. 1 lit. a Var. 3 DS-GVO eingehalten wird. Das bedeutet, dass sich aus der Einwilligung nicht nur die Daten selbst und der Zweck, sondern auch der Verantwortliche, die Datennutzungsdauer und die Datenweitergabe ergeben müssen.458 Insbesondere mit der Weitergabe an Dritte sind Risiken für den Betroffenen verbunden. Für die Angabe der Empfänger ist daher eine zu grobe Kategorisierung nicht ausreichend.459 Wird die Einwilligung nur konkludent erteilt, ist die Weitergabe der Daten an Dritte grundsätzlich nicht möglich.460 Dass der Betroffene den Verantwortlichen und die Zwecke der Verarbeitung kennen muss, ergibt sich ausdrücklich aus ErwG. 42 S. 4 DS-GVO. Verknüpft mit der Informiertheit der Einwilligung ist das Erfordernis des Bezugs zu einem bestimmten Fall. Dieser soll bestehen, wenn sich die Einwilligung auf spezifische Daten, ­Zwecke und Verantwortliche bezieht.461 Je tiefer in die Rechte und Freiheiten des Betroffenen eingegriffen wird, desto bestimmter muss die Einwilligung sein.462 (b) Freiwilligkeit Die Freiwilligkeit der Einwilligung ist zunächst in Art. 7 Abs. 4 DS-GVO geregelt. Danach soll die Nutzung eines Dienstes nicht von der Einwilligung in Verarbeitungen personenbezogener Daten abhängig gemacht werden dürfen, die für die Nutzung des Dienstes nicht erforderlich sind.463 Hierbei handelt es sich um ein sogenanntes Kopplungsverbot. Beispielsweise soll die Speicherung und Auswertung des Suchverhaltens eines Betroffenen durch den Betreiber der Suchmaschine nicht zur Bedingung für die Nutzung der Suchmaschine gemacht werden dürfen. Dies würde hiernach die Freiwilligkeit der Einwilligung verletzen. Entsprechendes soll bei der Nutzung sozialer Netzwerke gelten.464 Das Kopplungsverbot macht die Verarbeitungen so transparenter.465 Nach dem Wortsinne ist eine Einwilligung freiwillig, wenn der Betroffene Wahlmöglichkeiten hat.466 ErwG. 43 S. 2 DS-GVO sagt hierzu, dass der 458  Paal/Pauly

DS-GVO/Ernst, Art. 4 Rn. 81 ff. ZD 2017, 110, 113. 460  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 11. 461  Paal/Pauly DS-GVO/Ernst, Art. 4 Rn. 78. 462  Paal/Pauly DS-GVO/Ernst, Art. 4 Rn. 78. 463  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil 3 Rn. 40; Ziegenhorn/von Heckel, NVwZ 2016, 1585, 1587 464  Buchner, DuD 2016, 155, 158. 465  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil 3 Rn. 44. 466  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil  3 Rn. 40; Wybitul DSGVO/Wybitul, Teil 1 Rn. 286. 459  Ernst,



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO179

Betroffene in verschiedene Verarbeitungsvorgänge gesondert einwilligen können muss, wenn diese differenzierende Einwilligung im Einzelfall an­ gemessen ist. Dies wird als „horizontales Kopplungsverbot“ bezeichnet.467 Keine koppelnde Einzel- sondern eine Gesamteinwilligung soll angemessen sein, wenn die Verarbeitungsvorgänge „denklogisch“ aufeinander aufbauen.468 Nachgeschaltete Verarbeitungen könnten ansonsten nicht durchgeführt und der „Gesamtzweck“ verfehlt werden.469 Dies würde das horizontale Kopplungsverbot einschränken und mehr Verarbeitungen erlauben. Die Freiwilligkeitsvoraussetzung der Art. 4 Nr. 11; 7 Abs. 4 DS-GVO verfolgen hingegen das Ziel, dem Betroffenen dazu zu verhelfen, seine Persönlichkeitsrechte privatautonom auszuüben. So weit wie es möglich ist, soll er über die Verarbeitung seiner Daten entscheiden. Wie weit dies geht, hängt wesentlich von der technischen Gestaltung der Verarbeitung ab, nicht aber von einem vom Verantwortlichen festgelegten „Gesamtzweck“, ein Begriff, welcher der Verordnung ohnehin fremd ist. Daher ist auch dann eine differenzierende Einwilligung geboten, wenn der Verantwortliche auf die Einwilligung angewiesen ist, um nachgeschaltete Verarbeitungen durchzuführen. Zum horizontalen könnte ein „vertikales Kopplungsverbot“470 treten. Danach wäre ein eventuelles Machtgefälle zwischen Verantwortlichem und Betroffenem zu berücksichtigen. Ist der Betroffene auf die Leistung des Verantwortlichen zwingend angewiesen, könnte dies die Freiwilligkeit seiner Einwilligung ausschließen.471 Hierfür ist wiederum eine eventuelle Monopolstellung des Verantwortlichen maßgeblich.472 Ein Machtgefälle wird zwar an keiner Stelle ausdrücklich vorausgesetzt. Aber ErwG. 43 S. 1 DS-GVO nennt ein klares Ungleichgewicht zwischen Verantwortlichem und Betroffenem als möglichen Ausschließungsgrund einer freiwilligen Einwilligung. Dieses Kriterium erwähnten auch die Vorläuferversionen des Art. 7 Abs. 4 DS-GVO. Obwohl es in die endgültige Version nicht aufgenommen wurde, kann es berücksichtigt werden. Art. 7 Abs. 4 DS-GVO bestimmt den Freiwilligkeitsbegriff zwar maßgeblich,473 aber nicht abschließend. Für die Beurteilung der Freiwilligkeit dürfen daher auch Kriterien herangezogen werden, die sich nicht ausdrücklich aus Art. 7 Abs. 4 DS-GVO ergeben. Hier wird ohnehin nur ein Beispiel genannt, wie sich aus „[…] unter anderem […]“ ergibt. NeZD 2017, 551, 552. ZD 2017, 551, 552. 469  Krohm/Müller-Peltzer, ZD 2017, 551, 552. 470  Krohm/Müller-Peltzer, ZD 2017, 551, 552. 471  Vgl. Krohm/Müller-Peltzer, ZD 2017, 551, 554 f. 472  Krohm/Müller-Peltzer, ZD 2017, 551, 554 f. 473  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 32; Wybitul DS-GVO/Fladung/Pötters, Art. 7, 8 Rn. 13 ff.; Wybitul DS-GVO/Pötters/Rauer, Art. 6 Rn. 12; Wybitul DS-GVO/Wybitul, Teil 1 Rn. 283. 467  Krohm/Müller-Peltzer, 468  Krohm/Müller-Peltzer,

180

C. Deliktische Haftung

ben dem horizontalen Kopplungsverbot und dem des Art. 7 Abs. 4 DS-GVO kann daher ein eventuelles Machtgefälle zwischen Verantwortlichem und Betroffenem ein „vertikales Kopplungsverbot“ auslösen. (c) Zusammenfassung der Auslegungsergebnisse Zusammenfassend gilt, dass Schweigen oder bloßes Nutzen nicht ausreicht und der Betroffene nur informiert ist, wenn er weiß, um welche Daten es sich handelt, wer Verantwortlicher ist, welche Zwecke die Daten haben, ob und an wen die Daten übermittelt werden dürfen und wie lange die Daten verwendet werden sollen. Darüber hinaus ist die Einwilligung nicht freiwillig, wenn etwa die Nutzung eines Online-Dienstes von der Verarbeitung nicht erforderlicher personenbezogenen Daten des Betroffenen abhängig gemacht wird oder in anderer Form Ausdruck eines Machtmissbrauchs ist oder wenn nicht in verschiedene Verarbeitungsvorgänge eingewilligt werden kann, obwohl dies angemessen wäre. (3) Einwilligung in Akkumulierung der Daten Die Akkumulierung von Daten ähnelt der Tätigkeit von Auskunfteien. Für Auskunfteien wird vertreten, dass Betroffene nicht einwilligen müssten, sondern dass sich die Rechtmäßigkeit der Verarbeitung nach der Interessenabwägung des Art. 6 Abs. 1 lit. f DS-GVO zu richten habe.474 Dies ist der Verordnung allerdings nicht zu entnehmen. Vielmehr ist zu prüfen, ob in die Akkumulierung eingewilligt werden kann. Die Einwilligung in die Datenakkumulierung kann nur dann als „informiert“ gelten, wenn der Betroffene die Verarbeitungen, ihren Umfang, ihre Nutzungsdauer, ihre Zwecke, den Verantwortlichen und eine eventuelle Datenweitergabe überblickt. Das bedeutet zunächst, dass er über den Akkumulierenden aufgeklärt werden muss, insbesondere wenn dieser mit dem Er­ bringer eines Dienstes nicht identisch ist. Den Verarbeitungsumfang kennt der Betroffene nur, wenn er erfährt, dass die akkumulierten Daten zu einem Persönlichkeitsprofil weiterverarbeitet werden sollen und wofür dieses Persönlichkeitsprofil verwendet werden soll. Das ermöglicht es dem Betroffenen, die Auswirkungen auf seine Grundrechte und -freiheiten abschätzen und informiert in die Akkumulation seiner Daten einwilligen zu können. Die Einwilligung bezieht sich dann auch auf einen „bestimmten Fall“. Schließlich verlangt der Willenserklärungs-Charakter der Einwilligung, dass die Akkumulierung nur dann auf sie gestützt werden kann, wenn der Betroffene 474  Vgl.

von Lewinski/Pohl, ZD 2018, 17, 17.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO181

sie ausdrücklich erklärt. Schweigen kann nicht als datenschutzrechtliche Einwilligung aufgefasst werden. Abhängig vom konkreten Fall kann daher informiert in die Akkumulierung eingewilligt werden. In die Akkumulierung sensitiver Daten muss der Betroffene darüber hinaus ausdrücklich einwilligen (Art. 9 Abs. 1, 2 lit. a DS-GVO), was bedeutet, dass er über die Sensitivität der Daten aufgeklärt werden muss. Die Einwilligung in Persönlichkeitsprofile könnte unter Verweis auf das „horizontale Kopplungsverbot“ als unfreiwillig angesehen werden, wenn nicht in die Akkumulierung der Daten, die Bildung und die Verwendung von Persönlichkeitsprofilen getrennt eingewilligt werden kann. Dafür müsste, wie oben festgestellt, die gesonderte Einwilligung angemessen sein. Hierbei wiederum müssen sich die drei Verarbeitungsstufen wesentlich unterscheiden. Die Akkumulierung ist mangels Auswertung der Daten, Generierung und Zuordnung neuer personenbezogener Daten mit lediglich abstrakten Eingriffen in die Persönlichkeitsrechte des Betroffenen verbunden. Erst die Bildung von Profilen konkretisiert mögliche Risiken für die Rechte und Freiheiten des Betroffenen. Diese können sich erst realisieren, wenn die Persönlichkeitsprofile verwendet werden. Die drei Verarbeitungsstufen bauen zwar aufeinander auf, haben aber jeweils unterschiedliche Auswirkungen auf die Rechte des Betroffenen. Das muss sich in der Möglichkeit der abgestuften Einwilligung widerspiegeln. Willigt der Betroffene nur in „Persönlichkeitsprofile“ oder gar „Personalisierung“ ein und damit in alle Verarbeitungsstufen auf einmal, ist dies wegen Verstoßes gegen das „horizontale Kopplungsverbot“ als unfreiwillig zu betrachten. Für die Beurteilung der Freiwilligkeit der Einwilligung in die Akkumulierung von Daten für ein Persönlichkeitsprofil ist das Machtgefälle zwischen Verantwortlichem und Betroffenem zu berücksichtigen. Durch die Akkumulierung entsteht ein Informationsungleichgewicht, bei dem der Verantwortliche nicht nur viel über den Betroffenen erfährt, speichert und weiteverarbeitet. Ihm könnten sich auch Aspekte wie Gewohnheiten offenbaren, derer sich der Betroffene selbst nicht bewusst ist, weil er nicht selbst Daten über sich sammelt. Hieraus ergibt sich eine Manipulationsmöglichkeit. Sie wächst mit jedem verarbeiteten Datum. Zwar könnte der Betroffene in der umfangreichen Datensammlung des Verantwortlichen einen Vorteil für sich erkennen und in sie freiwillig einwilligen. Schließlich könnte ihm die größere Datenmenge bessere Analyseergebnisse versprechen. Dass der Verantwortliche dem Betroffenen einen Vorteil bietet, schließt aber nicht aus, dass der Verantwortliche das Machtgefälle dennoch ausnutzt. Es wird allerdings durch die Einhaltung der Informationspflichten eingezäunt. Informiert der Verantwortliche im oben geforderten Maße über die Akkummulierung, gibt er dem Betroffenen eine Möglichkeit, auf die Verarbeitung und damit auf die gewonne-

182

C. Deliktische Haftung

nen Erkenntnisse und so auf das Machtgefälle einzuwirken. Das Machtgefälle wird so auf ein vertretbares und mit anderen Verarbeitungskomplexen vergleichbares Maß reduziert. Die Freiwilligkeit der Einwilligung wird dadurch nicht ausgeschlossen. Die Freiwilligkeit der Einwilligung könnte aber wegen Verstoßes gegen das sich aus Art. 7 Abs. 4 DS-GVO ergebende Kopplungsverbot fehlen. Werden Daten für ein Persönlichkeitsprofil akkumuliert, sind sie für die jeweilige Nutzung eines anderen Dienstes gerade nicht erforderlich. Dies gilt gleichermaßen, wenn die Daten zunächst für einen Dienst genutzt werden sollen, um anschließend an Dritte weitergegeben zu werden, die diese dann akkumulieren. Auch die Profilbildung und -verwendung stellen eigene Verarbeitungszwecke dar. Daher führt die Kopplung der Akkumulation personenbezogener Daten für ein Persönlichkeitsprofil mit der Nutzung eines Dienstes zur Unfreiwilligkeit einer abgegebenen Einwilligung in die Akkumulation. (4) Einwilligung in Bildung von Persönlichkeitsprofilen In die Bildung von Persönlichkeitsprofilen ist, wie in ihre Verwendung und die Akkumulierung, gesondert einzuwilligen. Das folgt bereits aus dem Gebot der abgestuften Einwilligung in Persönlichkeitsprofile, dem „horizontalen Kopplungsverbot“.475 Damit die Einwilligung in die Profilbildung wirksam ist, müssen dem Betroffenen der Verantwortliche, die Dauer der Nutzung der Profildaten, ihr Umfang, ihre Zwecke und ihre Weitergabe bekannt sein. Der Verantwortliche muss die Informationen hierüber dem Betroffenen mitteilen. Hier ist allerdings die Besonderheit der Profilbildung zu beachten: Hat der Betroffene in die Datensammlung eingewilligt, bedeutet das nicht automatisch, dass er damit ebenso in die Verarbeitung der neu generierten Daten, die bei der Profilbildung erst entstehen, wirksam eingewilligt hat. Problematisch ist hier nicht, dass die Verarbeitung in der Zukunft liegt – denn das ist der Regelfall bei Einwilligungen – sondern, dass der wesentliche Bezugspunkt der Einwilligung, die personenbezogenen Daten, noch nicht existieren. Deswegen kann der Betroffene nicht vollends abschätzen, ob er deren Verarbeitung wünscht. In die Verarbeitung zukünftiger Daten kann nur dann eingewilligt werden, wenn sie selbst und die sich aus ihrer Verarbeitung ergebenen Risiken für den Betroffenen abschätzbar sind. Es ist daher erforderlich, die zu generierenden Daten möglichst genau zu beschreiben. Das umfasst, zunächst zu beschreiben, dass überhaupt neue Daten generiert werden, welche Art sie haben und aus welchen akkumulierten Daten diese gewonnen werden kön475  Siehe

oben Abschnitt C.I.1.e)aa)(2)(b).



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO183

nen. Im Hinblick auf die Verwendungsmöglichkeiten bietet es sich an, einen Finanz- oder Versicherungsscore oder marketingrelevante Produktvorlieben zu nennen. Die Generierung solcher Daten kann der Generierung anderer Daten vorausgehen. So könnte die Auswertung von Standortdaten ergeben, dass der Betroffene regelmäßig vor dem Laden eines bestimmten Händlers stehen bleibt, womit mit der „Regelmäßigkeit“ ein personenbezogenes Datum generiert wäre. Als marketingrelevantes Datum könnte daraus, gegebenenfalls in Kombination mit anderen Informationen, das Datum gebildet werden, dass der Betroffene an den Produkten des Händlers interessiert ist. Das letztendlich gebildete Datum, wie auch der Zwischenschritt, müssen gegebenenfalls gesondert und möglichst detailliert bezeichnet werden. Sie sind charakteristisch für den Verarbeitungsumfang, der dem Betroffenen bekannt sein muss, damit er in ihn wirksam einwilligen kann. Zudem muss bei der Beurteilung der Freiwilligkeit ein Missbrauch des Machtgefälles zwischen Verantwortlichem und Betroffenem und das Verbot der Kopplung der Einwilligung in die Profilbildung mit der Nutzung eines Dienstes beachtet werden. Ein Missbrauch kann nicht allein deswegen angenommen werden, weil es sich bei der Bildung von Persönlichkeitsprofilen um eine sensible Datenverarbeitung handelt. Eine Einwilligung kann nicht wegen der Tiefe des Eingriffes in die Grundrechte und -freiheiten des Betroffenen unwirksam sein, solange dieser dem Betroffenen bekannt sind und er die Einwilligung verweigern kann. Das ist Ausdruck und Schutz der grundrechtlich verankerten Privatautonomie. Wie bei der Akkumulation gilt auch hier mit Berücksichtigung des Art. 7 Abs. 4 DS-GVO, dass die Kopplung der Profilbildung mit der Nutzung eines Dienstes zur Unfreiwilligkeit einer abgegebenen Einwilligung in die Profilbildung führt. Das Persönlichkeitsprofil kann auch aus sensitiven Daten bestehen, die etwa direkt hinzugefügt oder durch Auswertung anderer personenbezogener Daten neu gebildet werden. Eine diesbezügliche Einwilligung muss den Anforderungen des Art. 9 Abs. 1, 2 lit. b DS-GVO genügen. (5) Einwilligung in Verwendung von Persönlichkeitsprofilen In die Verwendung von Persönlichkeitsprofilen muss von der Akkumulierung und Profilbildung getrennt eingewilligt werden. Um den Transparenzund Freiwilligkeitsanforderungen gerecht zu werden, müssen die verschiedenen Verwendungsmöglichkeiten erläutert werden. Das bedeutet, darüber aufzuklären, wie das Profil verwendet werden soll. Auch über die Weitergabe an Dritte muss informiert werden. Zudem kann nur dann der Missbrauch eines Machtgefälles verhindert werden, wenn der Betroffene über die Profilver-

184

C. Deliktische Haftung

wendung ausreichend aufgeklärt ist und seine Einwilligung auch verweigern kann. Schließlich darf die Verwendung von Persönlichkeitsprofilen nicht an die Nutzung von Diensten gekoppelt werden. Sofern das Persönlichkeitsprofil auch sensitive Daten enthält (Art. 9 Abs. 1 DS-GVO), kann eine Einwilligung ihre Verwendung nur dann rechtfertigen, wenn sie entsprechend ausdrücklich erklärt worden ist (Art. 9 Abs. 2 lit. a DS-GVO). (6) Zusammenfassung zur Einwilligung und Persönlichkeitsprofile Damit die Einwilligung in die Verarbeitung von Persönlichkeitsprofilen freiwillig ist, muss in jeder Verarbeitungsstufe getrennt eingewilligt werden können. Damit die Einwilligung in die Bildung von Persönlichkeitsprofilen wirksam ist, müssen die zu generierenden personenbezogenen Daten möglichst genau beschrieben werden, was auch für Daten gilt, die nur als Zwischenschritt gebildet werden. In jedem Fall muss über die beabsichtigte Verwendung, Nutzungsdauer und etwaige Empfänger der Profildaten informiert werden. Kann dann eine Einwilligung auch ohne negative Konsequenzen verweigert werden, nutzt der Verantwortliche auch kein eventuelles Machtgefälle aus. Ebenso darf keine der Verarbeitungsstufen an die Nutzung eines Dienstes gekoppelt sein, was insbesondere bei der Akkumulierung der Daten relevant ist. Sofern sensitive Daten verarbeitet werden, muss hierin ausdrücklich eingewilligt werden. Der Rückgriff auf andere Erlaubnistatbestände, wenn die Einwilligung verweigert oder zurückgenommen wurde, ist nicht möglich. bb) Vertragserforderlichkeit (Art. 6 Abs. 1 lit. b DS-GVO) Die für Persönlichkeitsprofile erforderlichen Verarbeitungen könnten auch durch Art. 6 Abs. 1 lit. b DS-GVO gerechtfertigt sein. Dieser erlaubt die Verarbeitung, wenn sie erforderlich ist, um entweder einen Vertrag mit dem Betroffenen zu erfüllen (HS. 1), oder eine vom Betroffenen initiierte vorvertragliche Maßnahme durchzuführen (HS. 2). Angesichts der Vielzahl von Verträgen, die Betroffene online abschließen, kommt dieser Rechtfertigungsnorm ein großes Gewicht zu.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO185

(1) Anforderungen (a) Erfüllung eines Vertrages Der „Vertrag“ im Sinne des Art. 6 Abs. 1 lit. b HS. 1 DS-GVO umfasst rechtsgeschäftliche und rechtsgeschäftsähnliche Schuldverhältnisse, nicht aber einseitige Rechtsgeschäfte.476 Der Betroffene muss sie willentlich eingehen und auf die Verarbeitung einwirken können.477 Das erfordert nicht, dass der Verantwortliche selbst der Vertragspartner des Betroffenen ist.478 Schließlich verlangt Art. 6 Abs. 1 lit. b DS-GVO ausdrücklich nur, dass der Betroffene Vertragspartner ist, nicht der Verantwotliche. Daher kann nicht nur die Weitergabe an Dritte durch den Vertragspartner, sondern auch die Verarbeitung durch Dritte gerechtfertigt werden. Allein ein Vertrag zwischen zwei Verantwortlichen kann eine Verarbeitung seiner personenbezogenen Daten nicht rechtfertigen. Die „Erfüllung“ des Vertrages ist nicht auf die Primärleistungspflichten beschränkt. Vielmehr sind hier etwa auch Neben- und Rücksichtnahmepflichten umfasst.479 Als weitere Voraussetzung wird gefordert, dass die Verarbeitung dem Interesse des Betroffenen am Vertrag dient.480 Dem Wortlaut der Norm kann dies nicht entnommen werden. Zudem ist der Gehalt dieser Voraussetzung unklar, weil der Betroffene stehts ein Interesse mit dem Vertragsschluss verfolgt, andernfalls würde er ihn nicht eingehen. Ein solch vages Merkmal würde zu unnötiger Rechtsunsicherheit führen. Die Einführung dieses ungeschriebenen Tatbestandsmerkmals ist daher überflüssig. (b) Durchführung einer vorvertraglichen Maßnahme Nach Art. 6 Abs. 1 lit. b HS. 2 DS-GVO kann eine vorvertragliche Maßnahme die zu ihrer Durchführung erforderliche Verarbeitung personenbezogener Daten rechtfertigen. Aus dem Wortlaut ergibt sich, dass die Datenverarbeitung nicht selbst die vorvertragliche Maßnahme darstellt, sondern nur für ihre Durchführung erforderlich sein muss. Als Beispiele für vorvertrag­

476  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 42; Kühling/Buchner DSGVO/Buchner/Petri, Art. 6 Rn. 27 f. 477  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 42. 478  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 42; Wybitul DS-GVO/Wybitul, Teil 1 Rn. 252. 479  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 43. 480  Wybitul DS-GVO/Pötters/Rauer, Art. 6 Rn. 14.

186

C. Deliktische Haftung

liche Maßnahmen werden die Erstellung von Vertragsangeboten481 oder die Datenübermittlung zur Bonitätsprüfung482 genannt. Voraussetzung ist zunächst, dass das Vertragsverhältnis hinreichend konkret ist.483 Weiterhin muss, nach dem Wortlaut „[…] die auf Anfrage der betroffenen Person erfolgen;“, der Betroffene die vorvertragliche Maßnahme selbst veranlasst haben.484 Sie muss außerdem der Vorbereitung und Anbahnung eines möglichen Vertrages dienen.485 Dass soll einschränkend nur gelten, wenn ein „zweiseitiges Näheverhältnis“ zwischen Verantwortlichen und Betroffenen besteht. Dieses ist insbesondere dann nicht gegeben, wenn die Verarbeitung der Daten den Betroffenen ausforscht oder auf Vorrat erfolgt.486 Hierbei kommt es darauf an, ob der Betroffene auch die Datenverarbeitung zur Durchführung der vorvertraglichen Maßnahme veranlasst hat. Soweit er dies getan hat, kann nämlich nicht von einem Ausforschen oder einer Vorratssammlung gesprochen werden. (c) Erforderlichkeit Sowohl die Erfüllung des Vertrages als auch die vorvertragliche Maßnahme müssen die Verarbeitung der personenbezogenen Daten des Betroffenen erfordern. Für dieses Tatbestandsmerkmal der Erforderlichkeit werden zwei Kriterien bestimmt, deren Inhalt und Verhältnis zueinander im Folgenden untersucht wird. (aa) Zwischenschrittskriterium Das erste Kriterium ist das Zwischenschrittskriterium. Es richtet den Blick auf den unmittelbaren Zusammenhang zwischen Verarbeitungen und Vertragszweck.487 Der Vertragszweck wird nach den §§ 133, 157 BGB bestimmt, die die Auslegung nach dem objektiven Empfängerhorizont verlangen.488 Das BGB ist jedenfalls dann anwendbar, wenn das deutsche Recht Vertragsstatut ist. Der Vertragszweck soll mit der Verarbeitung jedenfalls dann nicht 481  Paal/Pauly

DS-GVO/Frenzel, Art. 6 Rn. 15. DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 47. 483  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 15. 484  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 15. 485  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 47. 486  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 15. 487  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 44; Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil 3 Rn. 43. 488  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil 3 Rn. 43. 482  BeckOK



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO187

unmittelbar zusammenhängen, wenn es sich um soziale Netzwerke489 oder Kundenbeziehungen490 handelt. Dies gelte auch für die Übermittlung von Kundendaten an den Betreiber einer Cloud.491 Wie der „Zusammenhang“ und die „Unmittelbarkeit“ abstrakt auszulegen sind, bleibt offen. Schließlich bleibt stets der konkrete Vertragszweck maßgeblich. Eine prinzipielle Einschränkung lässt sich allerdings machen: Von einem unmittelbaren Zusammenhang kann nicht ausgegangen werden, wenn die Verarbeitungen nur einen Zwischenschritt, entweder für die Erfüllung eines Vertrages oder die Durchführung einer vorvertraglichen Maßnahme, darstellen.492 Ein Zwischenschritt kann etwa darin bestehen, dass gesammelte, personenbezogene Daten ausgewertet werden müssen, um Daten zu generieren, welche die Vertragserfüllung oder die vorvertragliche Maßnahme erst ermöglichen. Erst diese Bewertung anhand eines Zwischenschritts ermöglicht die praktische Anwendung des Kriteriums des unmittelbaren Zusammenhangs. (bb) Unabdingbarkeitskriterium Nach einem weiteren Kriterium ist die Verarbeitung dann für den Vertrag erforderlich, wenn der Vertrag ohne die Verarbeitung gar nicht, oder zumindest nicht in dem vorgesehenen Umfang, erfüllt, beziehungsweise die vorvertragliche Maßnahme nicht wie vorgesehen, durchgeführt werden kann.493 Damit wird die unbedingte Notwendigkeit der Verarbeitung für den Vertrag oder die vorvertragliche Maßnahme gefordert. Dass der Vertrags- oder Maßnahmenzweck nur gefördert oder verfolgt wird, ist nicht ausreichend.494 Zur Beurteilung des Umfangs sind die Eigenheiten495 und der Zweck496 des zugrundeliegenden oder vorbereiteten Vertrages zu berücksichtigen. Nach einer Ansicht soll es sich bei diesem zweiten Kriterium um eine Verhältnismäßigkeitsprüfung handeln. Deshalb seien auch die Interessen und Grundrechte des Betroffenen zu berücksichtigen.497 Dem wird mit dem Argument widersprochen, dass die Verhältnismäßigkeitsprüfung für staatliches 489  Albrecht/Jotzo

Datenschutzrecht/Albrecht/Jotzo, Teil 3 Rn. 44. DS-GVO/Pötters/Rauer, Art. 6 Rn. 17. 491  Wybitul DS-GVO/Pötters/Rauer, Art. 6 Rn. 17. 492  Vgl. Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 15. 493  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 9, 14; Wybitul DS-GVO/Pötters/ Rauer, Art. 6 Rn. 16. 494  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 44; Wybitul DS-GVO/Pötters/Rauer, Art. 6 Rn. 18. 495  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 14. 496  Wybitul DS-GVO/Pötters/Rauer, Art. 6 Rn. 15. 497  Wybitul DS-GVO/Pötters/Rauer, Art. 6 Rn. 16. 490  Wybitul

188

C. Deliktische Haftung

Handeln gelte, unter Privaten sei sie hingegen nicht anwendbar.498 Hätte der Verordnungsgeber sie hier gewollt, hätte er im Normwortlaut ausdrücklich auf die Verhältnismäßigkeit abstellen können. Die Erforderlichkeitsprüfung ist daher nicht mit einer Verhältnismäßigkeitsprüfung gleichzusetzen. (cc) Kombination der Kriterien Die Kriterien schließen sich nicht gegenseitig aus. Kombiniert man beide, ist eine Verarbeitung dann erforderlich, wenn sie für die Erfüllung des Vertrages oder die Durchführung einer angefragten vorvertraglichen Maßnahme in ihrem jeweils vorgesehenen Umfang unabdingbar ist (Unabdingbarkeitskriterium) und keinen Zwischenschritt zur Erreichung des angestrebten Vertragszwecks (Zwischenschrittskriterium) darstellt. Durch das Erforderlichkeitsmerkmal sollen zugleich die Grundsätze der Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO) und der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DS-GVO) verwirklicht werden.499 Verarbeitungen, die der Vertrag nicht mehr erfordere, sollen nämlich nicht mehr „erheblich“ nach Art. 5 Abs. 1 lit. c DS-GVO sein.500 (d) Berücksichtigung der Anforderungen anderer Erlaubnissätze? Es stellt sich die Frage, ob die Vertragserforderlichkeit nach Art. 6 Abs. 1 lit. b DS-GVO voraussetzt, dass der Vertrag den Anforderungen einer Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO genügt. Beide Normen sind wesensverwandt.501 Ihnen liegt eine Willensbetätigung des Betroffenen zugrunde. Die Vertragserforderlichkeit wird als Verlängerung der Einwilligung gesehen, die hier nur ein „notwendiges Zwischenziel“ sein soll.502 Würden die Anforderungen der Einwilligung unbeachtet bleiben, sobald ein Vertrag geschlossen wird, würde dies ihre Wirkung untergraben. Mit dem effet utile des Art. 6 Abs. 1 lit. a DS-GVO wäre dies unvereinbar. Zu den Einwilligungs-Anforderungen zählt nach Art. 7 Abs. 1 DS-GVO auch, dass die Einwilligung dokumentiert werden muss. Darüber hinaus muss die Einwilligung von der Darstellung anderer Sachverhalte getrennt werden (Art. 7 Abs. 2 DS-GVO) und der Widerruf der Einwilligung stets einschränkungslos möglich sein (Art. 7 Abs. 3 DS-GVO). Die Umsetzung dieser Anforderungen für Verträge ist 498  Paal/Pauly

DS-GVO/Frenzel, Art. 6 Rn. 14. DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 18; Paal/Pauly DS-GVO/ Frenzel, Art. 6 Rn. 9. 500  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 14. 501  Vgl. BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 41. 502  Sydow DS-GVO/Reimer, Art. 6 Rn. 18. 499  BeckOK



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO189

kaum vollständig möglich. Hinzu kommt, dass Art. 6 Abs. 1 lit. b DS-GVO den Privatrechtsverkehr erleichtern und praktikabler gestalten soll.503 Dieses Ziel unterscheidet sich von dem der Einwilligung, die den Betroffenen schützen soll. Auch der Wortlaut der Norm hat einen Verweis auf die Voraussetzungen der Einwilligung unterlassen. Schließlich stehen die Erlaubnissätze alternativ nebeneinander und nicht kumulativ zueinander.504 Die Reichweite des Art. 6 Abs. 1 lit. b DS-GVO wird darüber hinaus auf die Rechtfertigung solcher Verarbeitungen eingeschränkt, die für die Vertragserfüllung oder die Durchführung einer vorvertraglichen Maßnahme erforderlich sind. Mit einer Einwilligung lassen sich hingegen grundsätzlich alle Verarbeitungen rechtfertigen. Von einer Übertragung der Einwilligungsanforderungen ist daher nicht auszugehen. Gehen die Anforderungen der Einwilligung nicht im Erlaubnissatz der Vertragserforderlichkeit auf, sind beide, gerade wegen ihrer Nähe, voneinander abzugrenzen. Merkmal für die Abgrenzung ist, ob die Verarbeitung unmittelbarer Vertragsgegenstand ist. Sie stellt dann einen eigenständigen Vertragsbestandteil dar. Als solcher kann die Verarbeitung aufgenommen werden. Es handelt sich dann um eine Einwilligung, die nur mit einem Vertragsabschluss einhergeht, weswegen sie nur wirksam sein kann, wenn sie den Ansprüchen genügt, die die Verordnung an die Einwilligung stellt. Ist die Verarbeitung nicht unmittelbar Vertragsgegenstand, beurteilt sie sich nicht nach den Regeln zur Einwilligung, sondern nach denen der Vertragserforderlichkeit. (e) Zusammenfassung der Auslegungsergebnisse Bei der Vertragserfüllung nach Art. 6 Abs. 1 lit. b HS. 1 DS-GVO kann es sich um jeden Vertrag handeln, wobei die Regelungen zur datenschutzrechtlichen Einwilligung vorgehen, wenn sie anwendbar sind. Es werden nicht nur Verarbeitungen für Primärleistungspflichten, sondern auch für Sekundärleistungspflichten umfasst. Der Vertrag kann auch die Verarbeitung durch einen anderen Verantwortlichen rechtfertigen. Die vorvertragliche Maßnahme nach Art. 6 Abs. 1 lit. b HS. 2 DS-GVO, die der Vorbereitung und Anbahnung eines konkreten Vertrages dient, muss der Betroffene veranlasst haben.505 Eine diesbezügliche Datenverarbeitung setzt ein zweiseitiges Näheverhältnis voraus, mit welchem nicht vereinbar ist, dass der Verantwortliche den Betroffenen ausforscht oder dessen perso503  Vgl.

BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 29. oben Abschnitt C.I.1.e)aa)(1). 505  Siehe oben Abschnitt C.I.1.e)bb)(1)(b). 504  Siehe

190

C. Deliktische Haftung

nenbezogene Daten auf Vorrat verarbeitet. Von einer Ausforschung oder Vorratsverarbeitung kann aber nicht ausgegangen werden, wenn der Betroffene die Datenverarbeitung willentlich veranlasst hat. Eine Verarbeitung ist für die Erfüllung eines Vertrages oder die Durchführung einer vorvertrag­ lichen Maßnahme erforderlich, wenn sie für den Erfüllungs- oder Durchführungsumfang im vorgesehenen Maß unabdingbar ist (Unabdingbarkeitskriterium) und nicht nur einen diesbezüglichen Zwischenschritt darstellt (Zwischenschrittskriterium). (2) Vertragserforderlichkeit der Akkumulierung Damit die Akkumulierung von personenbezogenen Daten für ein Persönlichkeitsprofil von Art. 6 Abs. 1 lit. b DS-GVO gerechtfertigt werden kann, müsste sie entweder für die Durchführung einer vorvertraglichen Maßnahme oder die Erfüllung eines Vertrages erforderlich sein. Dies ist nicht der Fall, wenn die Akkumulierung unmittelbarer Bestandteil des Vertrages ist, der Betroffene also einen Vertrag abschließt, dessen Gegenstand die Akkumulierung ist. Ist die Akkumulierung Vertragsgegentand, ist der Abschluss des Vertrages eine Einwilligung. Ihre Zulässigkeit richtet sich nach Art. 6 Abs. 1 lit. a DS-GVO, nicht dem hier gegenständlichen lit. b derselben Norm. Nur wenn die Akkumulierung kein unmittelbarer Vertragsbestandteil ist, kann sie nach Art. 6 Abs. 1 lit. b DS-GVO als vertragserforderlich gerechtfertigt werden. Akkumulation als Durchführung einer vorvertraglichen Maßnahme ist nicht von Art. 6 Abs. 1 lit. b HS. 2 DS-GVO gerechtfertigt. Sie wurde nicht vom Betroffenen veranlasst und stellt ein Ausforschen dar, welches ein „zweiseitiges Näheverhältnis“ ausschließt. Als Vertrag, für dessen Erfüllung die Akkumulierung personenbezogener Daten erforderlich sein könnte, kommt ein Versicherungs- oder Darlehensvertrag in Betracht. Bei einem solchen Vertrag verpflichtet sich der Betroffene zur Zahlung von Beiträgen oder Raten. Deren Höhe kann sich nach einem Profilscorewert richten. Für diesen Profilscore könnte die Akkumulierung erforderlich sein. Die Erforderlichkeit im Normsinne ist schon dann nicht gegeben, wenn sie nur einen Zwischenschritt zur Vertragserfüllung darstellt.506 Ein Profilscorewert wird durch die Verwendung von Persönlichkeitsprofilen erstellt. Der Profilverwendung muss eine Profilbildung vorausgehen, die wiederrum auf der Akkumulation personenbezogener Daten basiert. Zwischen Akkumulation und Erstellung des Profilscorewerts liegt folglich ein Zwischenschritt. Damit ist die Akkumulation für die Vertragserfüllung nicht erforderlich im Sinne der Norm. Hiervon abzugrenzen ist die Frage nach der Zulässigkeit von Scoring, 506  Siehe

oben Abschnitt C.I.1.e)bb)(1)(c)(aa).



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO191

welches nicht auf einem Persönlichkeitsprofil, sondern direkt auf gesammelten Daten beruht. Zusätzlich könnte es am Unabdingarkeitskriterium fehlen. Hier ist maßgeblich, ob ein Versicherungs- oder Darlehensvertrag nur durch Zusammenführung von Daten aus allen Lebensbereichen erfüllt werden könnte. Versicherungs- und Darlehensverträge werden allerdings auch ohne eine solch umfangreiche Datensammlung abgeschlossen und durchgeführt. Die Akkumulation ist daher nicht unabdingar. Werden Verträge über die Nutzung von Diensten oder Plattformen geschlossen, ist auch hier die Akkumulation von Daten aus mehreren verschiedensten Lebensbereichen für die Nutzung nicht zwingend notwendig und damit nicht erforderlich. Bei welchen anderen Verträgen das der Fall sein könnte, ist nicht ersichtlich. (3) Vertragserforderlichkeit der Profilbildung Art. 6 Abs. 1 lit. b DS-GVO rechtfertigt die Bildung von Persönlichkeitsprofilen, wenn diese für die Erfüllung eines Vertrages oder die Durchführung einer vorvertraglichen Maßnahme erforderlich ist. Als Vertrag ist auch hier zunächst ein Darlehens- und Versicherungsvertrag denkbar. Beinhaltet dieser ausdrücklich die Erstellung eines Profilscorewerts über den Betroffenen, muss die Zustimmung des Betroffenen den Anforderungen der Einwilligung aus Art. 6 Abs. 1 lit. a DS-GVO genügen. Sieht der Vertrag hingegen nicht die Erstellung eines Profilscorewertes, sondern die Festsetzung von Raten vor, müsste gemäß Art. 6 Abs. 1 lit. b DS-GVO die Bildung von Persönlichkeitsprofilen hierfür erforderlich sein. Die Erforderlichkeit ist ausgeschlossen, wenn ein Zwischenschritt hinzukommt. Ein Profilscorewerts wird generiert, indem ein Persönlichkeitsprofil verwendet wird. Dies geschieht über die Verarbeitungskette Akkumulation – Profilbildung – Profilverwendung – Profilscorewert. Die Verwendung eines Persönlichkeitsprofils ist also Zwischenschritt und die Bildung eines Persönlichkeitsprofils nur mittelbar für die Erstellung eines Profilscorewerts notwendig. Zudem fehlt es auch am Unabdingarkeitskriterium, da Darlehens- und Versicherungsverträge auch ohne die Profilbildung abgeschlossen werden. Es ist nicht notwendig auf ein vollständiges Profil der Persönlichkeit des Vertragspartners zurückzugreifen. Die Bildung von Persönlichkeitsprofilen ist damit nicht erforderlich für die Erfüllung von Verträgen. Dies gilt erst recht, wenn der Profilscorewert nicht Vertragsbestandteil geworden ist, sondern nur intern auf Seiten des Vertragspartners des Betroffenen Verwendung findet. Die Rechtfertigung der Erstellung von Akkumulationsscorewerten, die nicht auf Persönlichkeitsprofilen beruhen, bleibt von dem hier gefundenen Ergebnis un-

192

C. Deliktische Haftung

berührt. Die Frage nach der Rechtfertigung der Verwendung bereits bestehender Persönlichkeitsprofile wird unten beantwortet werden. Die Bildung von Persönlichkeitsprofilen ist für die Erfüllung von Darlehens- und Versicherungsverträgen oder die entsprechende Durchführung vorvertrag­licher Maßnahmen allerdings grundsätzlich nicht erforderlich. Auf andere Verträge dürfte diese Wertung übertragbar sein. Die Profilbildung ist, wie die Akkumulierung, nicht als Durchführung einer vorvertraglichen Maßnahme nach Art. 6 Abs. 1 lit. b HS. 2 DS-GVO gerechtfertigt, da dies ein Ausforschen darstellt. (4) Vertragserforderlichkeit der Profilverwendung Auch hier gilt, dass Art. 6 Abs. 1 lit. b DS-GVO die Verwendung von Persönlichkeitsprofilen rechtfertigt, wenn dies für die Erfüllung eines Vertrages oder die Durchführung einer vorvertraglichen Maßnahme erforderlich ist. Wird die Profilverwendung in den Vertrag direkt aufgenommen, handelt es sich bei der Zustimmung des Betroffenen um eine Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO. Ist die Profilverwendung nicht direkter Vertragsbestandteil, kommt es maßgeblich auf ihre Erforderlichkeit für die Erfüllung des Vertrages an. Sie darf keinen Zwischenschritt darstellen und muss für den vorgesehenen Umfang unabdingbar sein. Ein Zwischenschritt zur Vertragserfüllung muss nicht mehr gegangen werden, die Profilverwendung ist bereits der letzte mögliche Schritt. Anders als bei der Akkumulierung und der Profilbildung kommt es hier also darauf an, inwieweit die Verwendung von Persönlichkeitsprofilen für die Vertragserfüllung unabdingbar ist. Die Vertragserfüllung könnte bei einem Darlehens- oder Versicherungsvertrag darin bestehen, die Höhe der vom Betroffenen zu zahlenden Raten möglichst genau an seine wirtschaft­ lichen Möglichkeiten und Risiken anzupassen. Je mehr Profildaten verwendet werden, desto aussagekräftiger würde ein solche Analyse werden. Sie wird grundsätzlich von jedem berücksichtigten Datum beeinflusst. Nur ausnahmsweise werden Daten für eine Analyse vollständig belanglos sein. Dass Profildaten für den vorgesehenen Umfang der Ratenfeststellung unabdingbar sind, könnte daher grundsätzlich angenommen werden. Die primären Vertragspflichten bestehen allerdings in den Raten- oder Beitragszahlungen auf der einen und der Darlehens- oder Versicherungsleistung auf der anderen Seite. Es geht also um einen Austausch von Leistungen. Für die Erfüllung dieser Pflichten ist es nicht unbedingt notwendig, Persönlichkeitsprofile zu verwenden. Schließlich wäre es auch möglich, lediglich Akkumulationsscorewerte zu verwenden oder vollständig auf Scoring oder andere Analysen zu verzichten. Will der Verantwortliche derartige Datenverarbeitungen vornehmen, steht es ihm frei, sie in den Vertrag mit dem Betrof-



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO193

fenen aufzunehmen und die Einwilligung einzuholen. Auch Nebenpflichten des Vertrages sind zu berücksichtigen. Als Nebenpflicht könnte angesehen werden, den Betroffenen vor Beitrags- oder Ratenzahlungen zu bewahren, die ihn wirtschaftlich überlasten. Für diese Einschätzung der wirtschaftlichen Lage des Betroffenen müsste es unabdingbar sein, sein Persönlichkeitsprofil zu verwenden. Ausreichend sind aber auch diesbezüglich wirtschaftliche Daten. Es müssen weder mehrere seiner Lebensbereiche noch wirtschaftsferne Lebensbereiche wie das Spazierengehen eingehend analysiert werden. Entsprechend reduzierte Analyseergebnisse sind vielleicht weniger aussagekräftig als eine auf Persönlichkeitsprofile zurückreichende Analyse. Eine Einschätzung der wirtschaftlichen Lage lassen sie gleichwohl zu. Denn auch ohne die umfangreichen Datenerhebungen und Auswertungen hat die Versicherungswirtschaft bislang gute Geschäfte und ausreichende Risikokalkula­ tionen machen können. Zudem könnten unter Umständen Zusammenhänge zwischen Lebensbereichen hergestellt werden, die keine Zusammenhänge aufweisen. Die Verwendung eines Persönlichkeitsprofils ist daher nicht unabdingbar und damit nicht erforderlich, um Nebenleistungspflichten des Darlehens- oder Versicherungsgebers zu erfüllen. Vergleichbares gilt, wenn Persönlichkeitsprofile für eine vorvertragliche Maßnahme verwendet werden sollen. Hier fehlt bereits das „zweiseitige Nähe­verhältnis“. Fragt der Betroffene sie ausdrücklich an, damit sein Ratenoder Beitragssatz bestimmt werden kann, handelt es sich hierbei um eine Einwilligung, die den entsprechenden Anforderungen des Art. 6 Abs. 1 lit. a DS-GVO genügen muss. Veranlasst er hingegen lediglich eine Bewertung seiner Zahlungsfähigkeit, ist hierfür nach obiger Darstellung die Verwendung von Persönlichkeitsprofilen nicht erforderlich. Zusammenfassend gilt also, dass die Verwendung von Persönlichkeitsprofilen nicht von Art. 6 Abs. 1 lit. b HS. 1, 2 DS-GVO gerechtfertigt ist. Auf andere Verträge als Darlehens- und Versicherungsverträge, wie etwa solche über die Nutzung von sozialen Netzwerken oder Plattformen, dürfte das hier gefundene Ergebnis übertragbar sein. (5) Zusammenfassung zur Vertragserforderlichkeit Art. 6 Abs. 1 lit. b DS-GVO kann weder die Akkumulierung personenbezogener Daten noch die Bildung oder die Verwendung von Persönlichkeitsprofilen rechtfertigen. Sollten die Verarbeitungsschritte direkter Vertragsbestandteil sein, beziehungsweise der Betroffene sie vorvertraglich anfragen, sind die Anforderungen zu beachten, die an eine wirksame Einwilligung gestellt werden.507 507  Siehe

oben Abschnitt C.I.1.e)aa).

194

C. Deliktische Haftung

cc) Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DS-GVO) Nach Art. 6 Abs. 1 lit. f DS-GVO ist die Verarbeitung personenbezogener Daten dann gerechtfertigt, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen, Grundrechte oder Grundfreiheiten des Betroffenen nicht überwiegen. Wie kein anderer Erlaubnissatz ist dieser der Interpretation offen. Art. 6 Abs. 1 lit. f DS-GVO enthält auch die einzige Abwägung der Erlaubnistatbestände. Diese Norm muss viele verschiedene Verarbeitungssituationen abdecken und einer angemessenen Lösung zuführen, für die das BDSG a. F. noch mehrere Einzelnormen verwandte.508 Daraus ergibt sich die große Bedeutung dieser Erlaubnisnorm. (1) Stellung im Normgefüges des Art. 6 Abs. 1 DS-GVO In der Literatur wird nicht nur um den Tatbestand des Art. 6 Abs. 1 lit. f DS-GVO gestritten, sondern auch um die Stellung des Artikels im Norm­ gefüge der Verordnung. So wird ihr ein Ergänzungs- oder Ausnahmecharakter zugesprochen. Dieser verlange, dass Art. 6 Abs. 1 lit. f DS-GVO nur dann anwendbar sei, wenn die Erlaubnissätze der lit. a bis e nicht einschlägig seien.509 Die Gründe für diesen Ausnahmecharakter sollen allgemein im Schutzzweck der Norm und der Systematik der Verordnung liegen.510 Art. 6 Abs. 1 lit. f DS-GVO soll danach etwa die Verarbeitung auf Basis der Einwilligung und bestehender Verträge ergänzen.511 Teilweise wird in der Norm keine Ausnahme-, sondern eine bloße Auffangfunktion gesehen, nach der Art. 6 Abs. 1 lit. f DS-GVO auf gleicher Stufe stehe, aber insbesondere dann Bedeutung erlange, wenn die anderen Erlaubnisnormen eine Verarbeitung nicht rechtfertigten.512 Im Unterschied zum Ausnahmecharakter ist hier die NichtEinschlägigkeit der lit. a bis e keine im Rahmen eine Vorprüfung festzustellende Vorbedingung. Vielmehr seien die Erlaubnisnormen der lit. a bis e und die des lit. f nebeneinander anwendbar, ohne sich auszuschließen.513 Für diese parallele Anwendbarkeit der Erlaubnisnormen spricht nicht nur der Wortlaut, dem keine Unterscheidung und vorrangige Anwendbarkeit mancher Erlaubnisnormen entnommen werden kann.514 Hierfür ist auch anzuführen, ITRB 2017, 169, 169. Härting/Gössling/Dimov, ITRB 2017, 169, 170. 510  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 26. 511  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 28. 512  Wybitul DS-GVO/Pötters/Rauer, Art. 6 Rn. 30. 513  Härting/Gössling/Dimov, ITRB 2017, 169, 170 f. 514  Härting/Gössling/Dimov, ITRB 2017, 169, 170. 508  Härting/Gössling/Dimov, 509  Vgl.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO195

dass das Widerspruchsrecht nach Art. 21 Abs. 1 DS-GVO nur dann anwendbar ist, wenn die widerspruchsgegenständliche Verarbeitung unter anderem auf Art. 6 Abs. 1 lit. e oder f DS-GVO gestützt wurde. Eine Verarbeitung kann also auf mehrere Erlaubnistatbestände gestützt werden. Nach dieser vorzugswürdigen Ansicht ist lit. f neben den lit. a bis e anwendbar und deren Nicht-Vorliegen keine Vorbedingung. (2) Anforderungen Der Tatbestand der Norm ist in mehrere Prüfungsschritte aufgeteilt. Zunächst ist das berechtigte Interesse des Verantwortlichen oder eines Dritten an der Verarbeitung zu bestimmen. Die zu rechtfertigende Verarbeitung muss zu dessen Wahrung dann erforderlich sein. Schließlich ist zu prüfen, ob die berechtigten Interessen des Betroffenen nicht überwiegen.515 (a) Verarbeitungsinteresse Zur Erörterung des Verarbeitungsinteresses ist es erforderlich zu bestimmen, ob eine weite Auslegung geboten ist, welche Verarbeitungen umfasst sind und inwiefern diese berechtigt im Normsinne sind. (aa) Weite Auslegung des berechtigten Interesses? Das berechtigte Interesse des Verantwortlichen an der Verarbeitung soll sich aus dem Zweck der Verarbeitung ergeben.516 Hierbei wird ein großer Spielraum für die Annahme des berechtigten Interesses gefordert. Nur dann könnte den Grundrechten auf Meinungs-, Presse-, Rundfunk – und Berufsfreiheit, denen die Datenverarbeitung dienen kann, ausreichend Rechnung getragen werden.517 Dies benachteilige den Betroffenen auch nicht unangebracht, weil seine Interessen schließlich ohnehin Berücksichtigung fänden und mit den Verarbeitungsinteressen abgewogen werden müssten.518 Dagegen spricht allerdings, dass die Betroffenheit der vorgenannten Grundrechte zur Voraussetzung gemacht wird. Bei ihrem Nichtvorliegen wären die Inte­ ressen an der Verarbeitung folglich nicht so großzügig auszulegen. Dies 515  Ehmann/Selmayr DS-GVO/Heberlein, Art. 6 Rn. 25; von Lewinski/Pohl, ZD 2018, 17, 18; Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 27. 516  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 68; Härting/Gössling/­ Dimov, ITRB 2017, 169, 169. 517  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 68. 518  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 68.

196

C. Deliktische Haftung

würde zu einer zersplitterten Auslegung der Norm und zu Rechtsunsicherheit führen. Ihr kann daher nicht gefolgt werden. (bb) Welche Verarbeitungsinteressen sind umfasst? Darüber, dass das Verarbeitungsinteresse normativ519 und subjektivrechtlich ist, weil es sich im Rahmen der Grundrechte der EUGRCharta bewegt,520 besteht Einigkeit. Dementsprechend umfasst es wirtschaftliche und ideelle Interessen.521 Schließlich ist ein Gewinnerzielungsinteresse von Art. 16 ­EUGRCharta anerkannt.522 Diese Auslegung ist sachgerecht, weil die Norm einen Ausgleich zwischen den Interessen des Betroffenen ebenso wie denen des Verantwortlichen will.523 Als Beispiele für ein berechtigtes wirtschaft­ liches Interesse an der Verarbeitung werden Marktforschung,524 Direktwerbung525, Kostensenkung,526 Datenaustausch innerhalb einer Unternehmens­ gruppe,527 bestehende Rechts-528 oder Kundenverhältnisse529 zwischen Verantwortlichem und Betroffenem, das Kennenlernen eigener Kunden, um zugeschnittene Produkte und Dienstleistungen anbieten zu können530, der Verkauf von Produkten an Kunden531, der Gewinn neuer Kunden,532 Bonitätsauskünfte,533 Schutz vor Überschuldung,534 Missbrauchs- und Be­ trugsverhinderung,535 die Förderung des Binnenmarktes für Verbraucherkre519  BeckOK

DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 68. DS-GVO/Frenzel, Art. 6 Rn. 26, 28. 521  Härting/Gössling/Dimov, ITRB 2017, 169, 170 f.; Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 28; von Lewinski/Pohl, ZD 2018, 17, 18, 20; Sydow DS-GVO/Reimer, Art. 6 Rn. 54 f. 522  von Lewinski/Pohl, ZD 2018, 17, 20; Sydow DS-GVO/Reimer, Art. 6 Rn. 55. 523  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 63. 524  Ehmann/Selmayr DS-GVO/Heberlein, Art. 6 Rn. 26. 525  WP 217, S. 25; Ehmann/Selmayr DS-GVO/Heberlein, Art. 6 Rn. 26; Sydow DS-GVO/Reimer, Art. 6 Rn. 55. 526  Sydow DS-GVO/Reimer, Art. 6 Rn. 55. 527  Ehmann/Selmayr DS-GVO/Heberlein, Art. 6 Rn. 26; Sydow DS-GVO/Reimer, Art. 6 Rn. 55. 528  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 28. 529  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 28; Sydow DS-GVO/Reimer, Art. 6 Rn. 56; Wybitul DS-GVO/Wybitul, Teil 1 Rn. 264. 530  WP 217, S. 25. 531  WP 217, S. 31. 532  Wybitul DS-GVO/Pötters/Rauer, Art. 6 Rn. 40. 533  Wybitul DS-GVO/Pötters/Rauer, Art. 6 Rn. 40. 534  EuGH Urteil v. 23.11.2006, Rs. C-238/05 (Asnef-Equifax und Administración del Estado), Slg. 2006, I-11125, Rn. 67, 69; von Lewinski/Pohl, ZD 2018, 17, 20. 535  WP 217, S. 25, 28 f.; Ehmann/Selmayr DS-GVO/Heberlein, Art. 6 Rn. 26. 520  Paal/Pauly



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO197

dite536 und sogar politische Werbung537 genannt. Dem kann die Offenlegung von Daten gegenüber Dritten hinzugefügt werden, wenn ihr eine angemessene Gegenleistung gegenübersteht. Dann wird nämlich eine, als berechtigtes Interesse anerkannte, Gewinnerzielung verfolgt. Zu den ideellen berechtigten Interessen können etwa solche gehören, die mit öffentlichen Interessen einhergehen, wie etwa die Verhinderung von Betrug oder der Missbrauch von Diensten.538 Ein prinzipielles Interesse an der Verarbeitung personenbezogener Daten ist nicht anerkannt. Der Verordnungsgeber bestätigt in ErwG. 47 S. 6 f. DS-GVO allein die Betrugsprävention und die Direktwerbung als berechtigte Interessen. Auch die Interessen von Dritten können Verarbeitungen rechtfertigen.539 Hierrunter fallen Direktwerbung durch Dritte540 und Auskunfteien, die personenbezogene Daten Betroffener zugunsten ihrer Kunden verarbeiten.541 Bereits nach Art. 7 lit. f DSRL konnten die berechtigten Interessen Dritter die Verarbeitung rechtfertigen. Dies wurde aber auf solche Dritte beschränkt, „denen die Daten übermittelt werden“. Dabei handelt es sich um eine Einschränkung, die unter der DS-GVO weggefallen ist. Eine Auswirkung auf die Rechtslage soll damit aber nicht verbunden sein, weil letztendlich nur Dritte, denen die Daten vom ursprünglichen Verantwortlichen übermittelt wurden, ein berechtigtes Interesse an der Verarbeitung haben können.542 (cc) Berechtigung des Interesses Nicht jedes rechtliche, wirtschaftliche oder ideelle Interesse rechtfertigt eine Verarbeitung, sondern nur, wenn es berechtigt ist.543 Dies eröffnet eine Wertungsmöglichkeit.544 Welcher Maßstab hierfür anzulegen ist, lässt der Wortlaut der Norm zwar nicht erkennen. Das Verarbeitungsinteresse kann aber negativ abgegrenzt werden: Es ist jedenfalls dann berechtigt, wenn es nicht unberechtigt ist. Unberechtigt ist, was die Rechtsordnung objektiv ver536  EuGH Urteil v. 27.03.2014, Rs. C-565/12 (LCL Le Crédit Lyonnais) Rn. 42; von Lewinski/Pohl, ZD 2018, 17, 19. 537  WP 217, S. 25. 538  WP 217, S. 35; vgl. Ehmann/Selmayr DS-GVO/Heberlein, Art. 6 Rn. 26; Sydow DS-GVO/Reimer, Art. 6 Rn. 55. 539  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 63; Ehmann/Selmayr DSGVO/Heberlein, Art. 6 Rn. 27; Wybitul DS-GVO/Pötters/Rauer, Art. 6 Rn. 42 f. 540  Wybitul DS-GVO/Pötters/Rauer, Art. 6 Rn. 43. 541  Wybitul DS-GVO/Pötters/Rauer, Art. 6 Rn. 44. 542  Ehmann/Selmayr DS-GVO/Heberlein, Art. 6 Rn. 27. 543  Vgl. WP 217, S. 24. 544  Härting/Gössling/Dimov, ITRB 2017, 169, 170.

198

C. Deliktische Haftung

bietet.545 Weder die Rechtsordnung der Mitgliedstaaten noch die europäische Rechtsordnung machen Interessen allerdings zum Verbotsgegenstand. Ziele staatlicher Regulierung sind menschliche Handlungen. Der Begriff des „berechtigten Interesses“ ist daher widersprüchlich. Er kann auch nicht dahingehend ausgelegt werden, dass ein Interesse berechtigt ist, wenn es auf die Verwirklichung einer legalen Handlung abzielt. Dies hätte nämlich zur Folge, dass die Legalität der Handlung im Rahmen des Erlaubnissatzes geprüft werden müsste. Dafür fehlen nicht nur Anhaltspunkte in der Verordnung. Es würde auch einen Zirkelschluss darstellen, da die Frage nach der Legalität der Handlung, die nur die Datenverarbeitung sein kann, gerade durch den Erlaubnissatz hergestellt werden soll. Im generellen Sprachgebrauch hingegen kann die Berechtigung eines Interesses als Hinweis auf dessen objektive Begründbarkeit verstanden werden. Danach ist das Interesse des Verantwortlichen „berechtigt“, wenn es für außenstehende Dritte nachvollziehbar ist. Diese Auslegung begegnet keinen Bedenken. Angesichts der Bandbreite rechtfertigender Interessen wird zudem verlangt, dass sie sich hinreichend konkret formulieren lassen, um mit den Betroffenengründen546 abgewogen werden zu können,547 aber auch um festzustellen, dass die zu rechtfertigende Verarbeitung für das verfolgte Interesse überhaupt erforderlich ist. Beispielsweise solle es bei Kunden- oder Dienstverhältnissen und bei Direktwerbung bestehen.548 Zudem nennt ErwG. 46 S. 6 DS-GVO ausdrücklich Betrugsverhinderung. (b) Erforderlichkeit der Verarbeitung für das Verarbeitungsinteresse Über den Maßstab der Erforderlichkeit bei Art. 6 Abs. 1 lit. f DS-GVO herrscht, obwohl dieser Punkt häufig nur kurz behandelt wird, Uneinigkeit. So soll nach einer Auffassung die Verarbeitung zur Wahrung der berechtigten Interessen des Betroffenen erforderlich sein, wenn es keine objektiv zumutbare Alternative gibt.549 Nach anderer Definition sei eine Verarbeitung bereits dann erforderlich, wenn das Unterlassen der Verarbeitung eine Beeinträchtigung des Verantwortlichen zur Folge hat.550 Das Heranziehen der Verhältnismäßigkeitsprüfung wird, wie auch bei den Erforderlichkeitsprüfungen der anderen Erlaubnissätze, überwiegend abgelehnt, weil es nicht zur Beziehung 545  Vgl. WP 217, S. 25; Ehmann/Selmayr DS-GVO/Heberlein, Art. 6 Rn. 25; Härting/Gössling/Dimov, ITRB 2017, 169, 170 f.; Sydow DS-GVO/Reimer, Art. 6 Rn. 54. 546  Vgl. unten Abschnitt C.I.1.e)cc)(2)(c). 547  WP 217, S. 25; Ehmann/Selmayr DS-GVO/Heberlein, Art. 6 Rn. 25. 548  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 28. 549  Wybitul DS-GVO/Pötters/Rauer, Art. 6 Rn. 46. 550  Sydow DS-GVO/Reimer, Art. 6 Rn. 58.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO199

unter Privaten passe.551 Insbesondere der Europäische Datenschutzausschuss stützt sich aber auf die Verhältnismäßigkeitsprüfung, indem er auf die Frage abstellt, ob andere weniger einschneidende Mittel zur Zweckerreichung zur Verfügung stünden.552 Dass eine Verarbeitung für das berechtigte Interesse des Verantwortlichen aber bereits dann erforderlich sein soll, wenn die Alternative, also das Unterlassen der Verarbeitung, objektiv nicht zumutbar wäre, würde eine ebenso niedrige wie unscharfe Hürde darstellen. Sie wäre noch kleiner, wenn schon jede Beeinträchtigung des Verantwortlichen eine Verarbeitung erforderlich machen soll. Hätte dieser niedrige Maßstab ausreichen sollen, hätte der Verordnungsgeber ein anderes Tatbestandsmerkmal wählen können, aus dem dies deutlich hervorginge. Dass er auf die Erforderlichkeit abstellt, verdeutlicht aber, nicht nur dem Wortsinn nach, dass er die Rechtfertigungswirkung des lit. f einschränken wollte. Eine einschränkende Auslegung ergibt sich auch aus dem Vergleich mit anderen Erforderlichkeitsprüfungen des Art. 6 Abs. 1 DS-GVO, wie etwa die Erfüllung eines Vertrages oder die Durchführung einer vorvertraglichen Maßnahme nach Art. 6 Abs. 1 lit. b DS-GVO. Auch sie fordern, dass die Verarbeitung für den vorgesehenen Zweck unabdingbar sein muss. Warum bei lit. f ein anderer Maßstab gelten soll, ist nicht nachvollziehbar.553 Das gilt umso mehr als das jenes offene Tatbestandsmerkmal des „berechtigten Inte­ resses“ ohnehin viel Spielraum für Verarbeitungen lässt. Erforderlichkeit im Sinne des Art. 6 Abs. 1 lit. f DS-GVO sollte daher auch hier nur dann gegeben sein, wenn die Verarbeitung für die Wahrung des berechtigten Interesses unabdingbar ist (Unabdingbarkeitskriterium) und zur Wahrung auch kein Zwischenschritt fehlt (Zwischenschrittskriterium).554 Das Merkmal der Unabdingarkeit bezieht sich im Unterschied zum Erforderlichkeitsbegriff des lit. b allerdings nicht auf den Vertrag oder die vorvertragliche Maßnahme, sondern auf die Wahrung des berechtigten Interesses. Auf die Festlegung des Interesses hat der Betroffene weniger Einfluss als auf einen Vertrag mit dem Verantwortlichen. Daher wird der Verantwortliche das berechtigte Interesse weiter definieren, um möglichst viele Verarbeitungen durchführen zu können. Es besteht mithin die Gefahr, dass die Einschränkungsfunktion des Merkmals der Erforderlichkeit unterlaufen wird. Um dem entgegenzuwirken, ist daher ein strengerer Maßstab an die Unabdingbarkeit anzulegen als bei

551  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 69; Paal/Pauly DS-GVO/ Frenzel, Art. 6 Rn. 29. 552  WP 217, S. 29. 553  Vgl. WP 217, S. 29. 554  Vgl. oben Abschnitt C.I.1.e)bb)(1)(c)(aa).

200

C. Deliktische Haftung

dem Erforderlichkeitsmerkmal bei Verträgen nach Art. 6 Abs. 1 lit. a DSGVO. (c) Betroffenengründe Um die Verarbeitungsinteressen mit den Interessen oder Grundrechten und Grundfreiheiten, also den Betroffenengründen, abwägen zu können, müssen Letztere ausgemacht und definiert werden.555 Hier ist bereits das „tatsäch­ liche, ideelle Interesse an der Privatheit“ ausreichend.556 Dies sind zwar insbesondere die Grundrechte der Art. 7 und 8 EUGRCharta,557 es kommen aber auch die in den Art. 34, 35, 49, 56 und 63 AEUV geschützten unternehmerische Belange in Betracht.558 Dass einzelne Interessen hier keine Berücksichtigung finden sollen, ist nicht ersichtlich. Prinzipiell ist zu untersuchen, welche Auswirkungen die Verarbeitung auf den Betroffenen hat.559 Hierbei ist ein weites Verständnis schon deshalb geboten, weil auch beim Verantwortlichen Interessen praktisch umfänglich berücksichtigt werden.560 Das zeigen nicht zuletzt die zahlreichen Beispiele für anerkannte Verarbeitungs­ interessen. Verdeutlicht wird dies aber auch dadurch, dass die Betroffenengründe nicht auf „berechtigte“ Interessen beschränkt werden.561 (d) Abwägung des Verarbeitungsinteresses mit den Betroffenengründen Nicht jede negative Auswirkung auf den Betroffenen lässt die Abwägung zu seinen Gunsten ausfallen.562 Nur wenn seine Interessen, Grundrechte und Grundfreiheiten die Verarbeitungsinteressen überwiegen, soll eine Rechtfertigung durch die Erlaubnisnorm des Art. 6 Abs. 1 lit. f DS-GVO nicht möglich sein.563 Das ist daran zu erkennen, dass die Verarbeitung rechtmäßig ist, „sofern nicht“ Betroffenengründe dagegensprechen. Es ergibt sich aber auch aus ErwG. 4 S. 2 DS-GVO, der klarstellt, dass die Rechte des Betroffenen

555  Vgl.

Härting/Gössling/Dimov, ITRB 2017, 169, 169. DS-GVO/Reimer, Art. 6 Rn. 60. 557  Ehmann/Selmayr DS-GVO/Heberlein, Art. 6 Rn. 28; Härting/Gössling/Dimov, ITRB 2017, 169, 171; Sydow DS-GVO/Reimer, Art. 6 Rn. 60. 558  Sydow DS-GVO/Reimer, Art. 6 Rn. 60. 559  WP 217, S. 33. 560  WP 217, S. 30. 561  WP 217, S. 30; Ehmann/Selmayr DS-GVO/Heberlein, Art. 6 Rn. 28; Sydow DS-GVO/Reimer, Art. 6 Rn. 60. 562  WP 217, S. 41; Härting/Gössling/Dimov, ITRB 2017, 169, 170. 563  Sydow DS-GVO/Reimer, Art. 6 Rn. 63. 556  Sydow



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO201

nicht uneingeschränkt gelten.564 Hieraus lässt sich ableiten, dass bei einer „Non liquet“-Lage, in der sich die Verarbeitungs- und die Betroffenengründe die Waage halten, die Verarbeitung gerechtfertigt ist.565 Art. 6 Abs. 1 lit. f DS-GVO ist insoweit verarbeitungsfreundlich. Ausgleichend ist der Verantwortliche dazu verpflichtet, die Abwägung vorzunehmen und zu dokumen­ tieren.566 Sollte der Betroffene allerdings der Auffassung sein, dass seine Inte­ ressen, Grundrechte oder Grundfreiheiten die Verarbeitungsinteressen überwiegen, muss er dies darlegen.567 Dies ist nicht unangemessen, da der Betroffene ein sich aus Art. 21 Abs. 1 DS-GVO ergebendes, jederzeitiges Widerspruchsrecht gegen solche Verarbeitungen hat.568 Übt er dieses aus, verlagert sich die die Beweislast der Gründe für eine Verarbeitung wieder auf den Verantwortlichen. Fraglich ist allerdings, inwieweit die hier vorzunehmende Abwägung weiter ausgestaltet werden kann. (aa) Formelle Abwägungskriterien Welchen Maßstäben die Abwägung folgen soll, ergibt sich nicht aus dem Normwortlaut. Es bestehen aber formelle und inhaltliche Anhaltspunkte. Zu den formellen Faktoren zählt, dass die Abwägung im Einzelfall geschehen soll.569 Sie hat sich am konkreten Verarbeitungsvorgang auszurichten.570 Das bedeutet, dass für jeden Verarbeitungsvorgang die Positionen abzuwägen sind. So muss etwa die Übermittlung an Dritte als eigene Verarbeitung von dem Erhebungsvorgang getrennt gerechtfertigt werden.571 Inhaltlich ist der Verarbeitungszweck mit der Art, dem Inhalt und der Aussagekraft der Daten zu vergleichen.572 Bei der Abwägung nicht zu berück564  Wybitul DS-GVO/Pötters/Rauer, Art. 6 Rn. 33; Wybitul DS-GVO/Wybitul, Teil 1 Rn. 267. 565  Siehe oben Abschnitt C.I.1.d)bb)(1)(a)(bb)(δ); Härting/Gössling/Dimov, ITRB 2017, 169, 170; Sydow DS-GVO/Reimer, Art. 6 Rn. 63; Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 31; Paal/Pauly DS-GVO/Martini, Art. 21 Rn. 17, 33. 566  Ehmann/Selmayr DS-GVO/Heberlein, Art. 6 Rn. 30; Härting/Gössling/Dimov, ITRB 2017, 169, 170 f. 567  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 70; Paal/Pauly DS-GVO/ Frenzel, Art. 6 Rn. 31. 568  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 70. 569  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil 3 Rn. 51; BeckOK ­DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 71; Ehmann/Selmayr DS-GVO/Heberlein, Art. 6 Rn. 25; Härting/Gössling/Dimov, ITRB 2017, 169, 170; Wybitul DS-GVO/ Pötters/Rauer, Art. 6 Rn. 47. 570  Härting/Gössling/Dimov, ITRB 2017, 169, 170; Wybitul DS-GVO/Pötters/ Rauer, Art. 6 Rn. 48. 571  Ehmann/Selmayr DS-GVO/Heberlein, Art. 6 Rn. 30. 572  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 72.

202

C. Deliktische Haftung

sichtigen sind persönliche, besondere Situationen des Betroffenen, da diese bereits Gegenstand des Art. 21 Abs. 1 DS-GVO sind und dem Betroffenen ein Widerspruchsrecht verleihen. Die Abwägung nach Art. 6 Abs. 1 lit. f DSGVO erfolgt hingegen konkret-objektiv. Bei besonders schutzbedürftigen Bevölkerungsgruppen, wie Kindern,573 fällt sie eher zuungunsten der Verarbeitung aus. (bb) Vorhersehbarkeit der Verarbeitung Wesentlich für die Abwägung ist die Vorhersehbarkeit der Verarbeitung und ihrer Umstände für den Betroffenen.574 Das gebieten der Transparenzgrundsatz des Art. 5 Abs. 1 lit. a Var. 3 DS-GVO575 sowie der Grundsatz von Treu und Glauben nach Art. 5 Abs. 1 lit. a Var. 2 DS-GVO.576 Auch ErwG.  47 S. 1 ff. DS-GVO bestimmt, dass sich die Abwägung primär nach den „vernünftigen Erwartungen“ der betroffenen Person richten soll. Kann der Betroffene zum Erhebungszeitpunkt nicht absehen, dass die konkrete Verarbeitung durchgeführt werden wird, soll die Abwägung zu seinen Gunsten ausfallen (ErwG. 47 S. 3 f. DS-GVO). Die Vorhersehbarkeit der Verarbeitungen für den Betroffenen wird nach den Umständen und der Beziehung zum ­Verantwortlichen beurteilt, wie sich aus ErwG. 47 S. 2 DS-GVO ergibt.577 (cc) Beziehung zwischen den Beteiligten Ein wesentlicher Faktor der Abwägung ist die Beziehung zwischen Verantwortlichem und Betroffenem. Hierbei ist zunächst zu berücksichtigen, ob zwischen Verantwortlichem und Betroffenem ein Vertrauensverhältnis, wie bei einem Arzt oder Anwalt oder ein Kunden- oder Angestelltenverhältnis besteht.578 Der Verantwortliche kann nämlich zu dominant sein, wie etwa bei großen, internationalen oder breit aufgestellten Unternehmen. Das spricht gegen die Rechtfertigung der Verarbeitung nach Art. 6 Abs. 1 lit. f DSGVO,579 weil der Betroffene stets die Möglichkeit des Sich-Entziehens haben

573  Ehmann/Selmayr

DS-GVO/Heberlein, Art. 6 Rn. 31. 217, S. 33; Ehmann/Selmayr DS-GVO/Heberlein, Art. 6 Rn. 28; Sydow DS-GVO/Reimer, Art. 6 Rn. 61; von Lewinski/Pohl, ZD 2018, 17, 19; Wybitul DSGVO/Pötters/Rauer, Art. 6 Rn. 50. 575  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil 3 Rn. 51. 576  Ehmann/Selmayr DS-GVO/Heberlein, Art. 6 Rn. 28. 577  Härting/Gössling/Dimov, ITRB 2017, 169, 170. 578  Ehmann/Selmayr DS-GVO/Heberlein, Art. 6 Rn. 28. 579  WP 217, S. 40. 574  WP



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO203

muss.580 Zu berücksichtigen ist weiterhin die generelle Position des Verantwortlichen.581 Hält er eine marktbeherrschende Stellung, wirkt sich dies in der Abwägung zulasten der Verarbeitung aus.582 In die Abwägung soll zwar auch einfließen, ob Verarbeitungsalternativen mit weniger negativen Auswirkungen für den Betroffenen zur Verfügung stehen.583 Dies käme aber einer Verhältnismäßigkeitsprüfung gleich, die, wie oben dargestellt, abzulehnen ist.584 Positiv wirkt sich hingegen aus, wenn das Verarbeitungsinteresse mit einem öffentlichen Interesse korreliert.585 Das ist etwa bei der Bekämpfung illegaler Aktivitäten wie Geldwäsche, Kinderhandel oder Filesharing der Fall.586 Ob ein solches öffentliches Interesse vorliegt, bestimmt sich nach kulturellen und sozialen Erwartungshaltungen. Sie müssen in der „weiteren Gemeinschaft“ akzeptiert sein.587 Anhaltspunkte hierfür sind die Auffassungen von Datenschutzbehörden und anderen Einrichtungen.588 (dd) Schutzmaßnahmen Positiv können sich im Einzelfall auch angemessene Maßnehmen zum Schutz des Betroffenen auswirken.589 Das gilt insbesondere dann, wenn sie über das gesetzliche Mindestmaß hinausgehen.590 Hierzu zählen etwa Maßnahmen zur Zweckbindung,591 Umsetzung von Informations- und Dokumen­ tationspflichten,592 Umsetzung der Betroffenenrechte,593 Löschung unmittelbar nach Nutzung,594 Datenportabilität,595 funktionale Separierung die sicherstellen soll, dass die Daten nicht Grundlage einer die natürliche Person be-

Lewinski/Pohl, ZD 2018, 17, 19. 217, S. 37 ff. 582  WP 217, S. 40; von Lewinski/Pohl, ZD 2018, 17, 19. 583  WP 217, S. 37 ff. 584  Siehe oben Abschnitt C.I.1.e)cc)(2)(b). 585  WP 217, S. 35; Sydow DS-GVO/Reimer, Art. 6 Rn. 62; von Lewinski/Pohl, ZD 2018, 17, 18. 586  WP 217, S. 28 f. 587  WP 217, S. 36. 588  WP 217, S. 36. 589  WP 217, S. 26, 33, 41; Sydow DS-GVO/Reimer, Art. 6 Rn. 62. 590  WP 217, S. 45. 591  WP 217, S. 33. 592  WP 217, S. 32 f., 42. 593  WP 217, S. 42. 594  WP 217, S. 42. 595  WP 217, S. 42. 580  von

581  WP

204

C. Deliktische Haftung

treffenden Entscheidung werden,596 sowie Opt-out Mechanismen.597 Solche Maßnahmen sollen in der Abwägung aber insbesondere dann weniger zugunsten der Verarbeitung wirken, wenn große Mengen von Daten verschiedener Quellen verarbeitet und Profile erstellt werden, weil die Betroffenen in solchen Fällen aufgeklärt einwilligen müssen.598 (ee) Intensität der Verarbeitung Schließlich ist die Intensität des Eingriffes in die Interessen oder Grundrechte und -freiheiten des Betroffenen maßgeblich.599 Hierfür werden eine Reihe von Kriterien bestimmt: Solche sind die Art der Daten, also insbesondere ob es sich um sensitive Daten, Kommunikations- oder Standortdaten handelt,600 ihr Intimitätsgrad,601 die Verbindung verschiedener Datenquellen, weil so auch sensitive Daten entstehen können,602 der Anlass der Daten­ verarbeitung,603 die Art der Informationsverarbeitung,604 sich durch sie potenziell realisierende Gefahren, zu denen auch Hacking zählt,605 der Umfang der Verarbeitung,606 das Stattfinden von Tracking,607 das Treffen von Vorhersagen über den Betroffenen,608 die Beeinflussung des Betroffenen609 und schließlich auch, ob der Betroffene bei Verlust der Kontrolle über die Datenverarbeitung Verärgerung spürt, Angst empfindet und/oder in eine Notlage gerät.610 Die hier zu beachtenden negativen Konsequenzen können sich auch erst ergeben, wenn mehrere Verarbeitungen gemeinsam betrachtet werden.611 Es sind allerdings nicht nur negative Auswirkungen zu berücksichtigen, sondern auch positive Folgen, die für den Betroffenen durch die Verarbeitung entstehen.612 596  WP

217, S. 42. 217, S. 31. 598  WP 217, S. 26, 47. 599  Wybitul DS-GVO/Pötters/Rauer, Art. 6 Rn. 49. 600  WP 217, S. 39. 601  Sydow DS-GVO/Reimer, Art. 6 Rn. 61. 602  WP 217, S. 39. 603  Sydow DS-GVO/Reimer, Art. 6 Rn. 61. 604  WP 217, S. 37, 39; von Lewinski/Pohl, ZD 2018, 17, 18 f. 605  WP 217, S. 37 ff.; von Lewinski/Pohl, ZD 2018, 17, 18 f. 606  WP 217, S. 31 f., 39; Sydow DS-GVO/Reimer, Art. 6 Rn. 61. 607  WP 217, S. 32. 608  WP 217, S. 32. 609  WP 217, S. 32. 610  WP 217, S. 37 ff. 611  WP 217, S. 37. 612  WP 217, S. 37; Sydow DS-GVO/Reimer, Art. 6 Rn. 62; von Lewinski/Pohl, ZD 2018, 17, 18 f. 597  WP



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO205

ErwG. 75 DS-GVO enthält einen langen Katalog von Verarbeitungen und deren Auswirkungen, die ein Risiko für Rechte und Freiheiten natürlicher Personen darstellen. Hierunter fallen etwa der Verlust der Kontrolle persön­ licher Daten, die Verarbeitung sensitiver Daten, die Bewertung persönlicher Aspekte, die Erstellung und Nutzung persönlicher Profile, und der Umfang der Verarbeitung hinsichtlich der Menge der personenbezogenen Daten und Anzahl der betroffenen Personen. Da dieser Katalog zur Beurteilung der Intensität des Eingriffs in die Rechtsposition des Betroffenen herangezogen werden soll, kann er auch der Abwägung dienen. Schließlich ist für diese ebenfalls der Eingriff in die Rechtsposition entscheidend. (e) Zusammenfassung der Anforderungen des Art. 6 Abs. 1 lit. f DS-GVO Fasst man die obigen Auslegungsergebnisse zusammen, ist zunächst zu erwähnen, dass keine Vorprüfung erforderlich ist, in der festzustellen wäre, dass die anderen Erlaubnistatbestände nicht einschlägig wären. Das berechtigte Interesse an der Verarbeitung des Verantwortlichen oder eines Dritten umfasst subjektive rechtliche, wirtschaftliche und ideelle Interessen und muss objektiv begründbar sein. Es ist ein breites Spektrum an Interessen anerkannt. Für die Beurteilung des Interesses des Verantwortlichen ist der Verarbeitungszweck zu berücksichtigen. Die Erforderlichkeitsprüfung der zu rechtfertigenden Verarbeitung entspricht derjenigen der anderen Erlaubnissätze des Art. 6 Abs. 1 DS-GVO. Danach ist die Verarbeitung erforderlich, wenn sie für die Interessenwahrung unabdingbar ist (Unabdingbarkeitskriterium) und kein weiterer Zwischenschritt zur Interessenerreichung nötig ist (Zwischenschrittskriterium). Die Interessen, Grundrechte und Grundfreiheiten des Betroffenen sind möglichst weit zu verstehen, weswegen etwa bereits ein rein ideelles Privatheitsinteresse zu berücksichtigen ist. Die Abwägung mit dem Verarbeitungsinteresse muss anhand des konkret-objektiven Verarbeitungsvorgangs und -zwecks erfolgen. Maßgeblich sind die Vorhersehbarkeit der Verarbeitung, die Beziehung zwischen Verantwortlichen und Betroffenen, getroffene Schutzmaßnahmen und die Intensität des Eingriffs. Sich aus seiner besonderen Situation ergebende Gründe, die gegen die Verarbeitung sprechen, sind nicht zu berücksichtigen. In einer „Non-liquet“-Lage ist die Verarbeitung gerechtfertigt. (3) Die Akkumulierung personenbezogener Daten als berechtigtes Interesse Die Akkumulierung von personenbezogenen Daten für ein Persönlichkeitsprofil ist nach Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt, wenn sie ein be-

206

C. Deliktische Haftung

rechtigtes Interesse verfolgt, die Akkumulierung für dessen Wahrung erforderlich ist und Interessen, Grundrechte oder Grundfreiheiten des Betroffenen nicht überwiegen. Prinzipiell kann die Akkumulierung vielen verschiedenen Interessen dienen, die sowohl der Verantwortliche als auch ein Dritter haben können. Es kommen fast alle der oben erwähnten wirtschaftlichen Interessen in Betracht: Akkumulierte Daten können der Marktforschung, der Ausforschung bestehender Kunden, der individuellen Anpassung von Produkten oder Dienstleistungen, deren Verkauf, der Direktwerbung, dem Gewinn neuer Kunden, der Generierung von Bonitätsauskünften, dem Schutz der Betroffenen vor Überschuldung, der Missbrauchs- und der Betrugsverhinderung dienen. Auch ihre Offenlegung gegenüber Dritten ist als berechtigtes wirtschaftliche Interesse anerkannt, wenn dadurch ein Gewinn erzielt werden soll. Mit akkumulierten Daten können aber auch ideelle Interessen verfolgt werden, weil sie für politische Werbung und Voter Targeting eingesetzt werden können. Diese Inte­ ressen sind objektiv nachvollziehbar, weswegen sie berechtigt im Sinne der Norm sind. Welche Interessen mit den Verarbeitungsvorgängen der Akkumulierung aber tatsächlich verfolgt werden, richtet sich nach dem festgelegten Verarbeitungszweck dieser Vorgänge. Ist kein Verarbeitungszweck festgelegt, widerspricht dies nicht nur dem Zweckbindungsgrundsatz, sondern es ist auch das Interesse nicht objektiv nachvollziehbar und damit nicht im Sinne des Art. 6 Abs. 1 lit. f DS-GVO berechtigt. Werden ein oder mehrere Zwecke festgelegt, müssen sie den Ansprüchen genügen, die Art. 5 Abs. 1 lit. b DS-GVO an einen festgelegten, eindeutigen und legitimen Zweck stellt. Aus diesen ergibt sich, dass auch schon bei der Akkumulierung die auf sie folgende Profilbildung, die Profilverwendung und die Offenlegung der Daten festgehalten werden müssen.613 Steht allein die Akkumulierung im Verarbeitungszweck, können die akkumulierten Daten nicht für die Profilbildung oder -verwendung verarbeitet werden. Zeigt der Verarbeitungszweck aber auf, wie das Persönlichkeitsprofil verwendet werden soll und ob die Profildaten an Dritte weitergegeben werden sollen, kann beurteilt werden, ob mit der Akkumulierung ein berechtigtes Interesse verfolgt wird. Soll das Persönlichkeitsprofil etwa dem Zuschneiden von Diensten auf einzelne Individuen dienen und ist dies in den Zweck der akkumulierenden Verarbeitungen aufgenommen, dient die Akkumulierung einem berechtigten Interesse. Wird ein berechtigtes Interesse verfolgt, ist weiterhin zu prüfen, ob die zu rechtfertigende Verarbeitung für diese Interessenverfolgung erforderlich ist. Das ist der Fall, wenn sie, jedenfalls in Teilen, für das berechtigte Interesse unabdingbar ist und kein weiterer Zwischenschritt zu dessen Wahrung mehr 613  Siehe

oben Abschnitt C.I.1.c)dd)(4).



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO207

nötig ist. Wird mit der Akkumulierung etwa die Personalisierung von Diensten verfolgt, so müssen die akkumulierten Daten erst zusammengeführt, ausgewertet und dann ein Persönlichkeitsprofil gebildet werden. Dieses kann dann weiter verwendet werden, etwa um einen Scorewert zu erstellen. Diese Kette verdeutlicht, dass die Bildung und die Verwendung des Persönlichkeitsprofils notwendige Zwischenschritte sind. Weil sie noch zu gehen wären, ist es nicht direkt die Akkumulierung, durch die die Interessen gewahrt werden. Durch die Akkumulierung allein kann ein berechtigtes Interesse nicht verfolgt werden. Nach dem Zwischenschrittskriterium ist sie also nicht erforderlich. Für die Interessenwahrung stehen zudem stets Alternativen zur Verfügung, für die keine Akkumulierung notwendig ist. Die in Frage kommenden berechtigten Interessen können auch ohne Sammlung von Daten aus allen Lebensbereichen verfolgt werden. So könnte ein Dienst dadurch individualisiert werden, dass lediglich Nutzungsdaten ausgewertet werden, nicht aber auch Daten über die Nutzung eines anderen Dienstes. Es fehlt mithin auch am Unabdingbarkeitskriterium. Daher ist die Akkumulierung nicht erforderlich im Sinne der Norm und nicht von Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt. (4) Bildung von Persönlichkeitsprofilen als berechtigtes Interesse Die Bildung von Persönlichkeitsprofilen ist nach Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt, wenn sie ein berechtigtes Interesse verfolgt, für dessen Wahrung die Profilbildung erforderlich ist, und Interessen, Grundrechte oder Grundfreiheiten des Betroffenen nicht überwiegen. (a) Verarbeitungsinteresse, Erforderlichkeit und Betroffenengründe Mit der Profilbildung werden naturgemäß dieselben Interessen verfolgt, wie mit der Akkumulierung der personenbezogenen Daten. Sie kann der Marktforschung, der Ausforschung bestehender Kunden, dem individuellen Zuschneiden von Produkten oder Diensten, deren Verkauf, der Direktwerbung, dem Neugewinn von Kunden, der Bonitätsdatengenerierung, dem Schutz vor Überschuldung, der Missbrauchs- und Betrugsverhinderung, der politischen Werbung und sonstigem Voter Targeting sowie der Weiterveräußerung an Dritte dienen. Auch hier ist der Verarbeitungszweck zu berücksichtigen, der neben der Bildung von Persönlichkeitsprofilen auch die anschließende Profilverwendung enthalten muss. Der Verarbeitungsschritt der Profilbildung besteht aus der Zusammenführung und Strukturierung der akkumulierten Daten, wodurch bestehende personenbezogene Daten neu zugeordnet und neue personenbezogene Daten

208

C. Deliktische Haftung

generiert werden können. Er ist für die vorgenannten Interessen dann erforderlich, wenn er zu deren Wahrung unabdingbar ist und kein weiterer Zwischenschritt nötig ist. Direkt können die oben genannten Interessen erst durch die Verwendung des Persönlichkeitsprofils verfolgt werden. Die Bildung des Profils ist dazu aber direkte Vorstufe. Als solche ist sie kein Zwischenschritt. Eine Ausnahme ist allerdings für die Fälle zu machen, in denen das Interesse in der Bewertung der Kredit- oder Versicherungswürdigkeit liegt. Die Kreditoder Versicherungswürdigkeit wird in einem Scorewert ausgedrückt. Dieser Scorewert kann erzeugt werden, indem ein Persönlichkeitsprofil verwendet wird. Der Profilverwendung geht die Profilbildung voran. Daher ist die Verwendung von Profilen ein Zwischenschritt zwischen Profilbildung und Inte­ ressenwahrung. Die Profilbildung ist dem Zwischenschrittskriterium nach also nicht erforderlich, sofern Kredit- oder Versicherungsinteressen verfolgt werden. Zudem stellt sich die Frage nach dem Unabdingarkeitskriterium. Es ist insbesondere bei anderen Interessen relevant, wie etwa dem Voter Targeting oder der Direktwerbung, da diesen nicht das Zwischenschrittskriterium fehlt. Nach dem Unabdingarkeitskriterium muss die Profilbildung für die Interessenwahrung im vorgesehenen Umfang unabdingbar sein. Die Realisierung des vorgesehenen Ausmaßes der Individualisierung könnte nur insoweit möglich sein, wie die Persönlichkeitsprofile gebildet werden. Kein generiertes oder neu zugeordnetes Datum könnte belanglos sein, da mit jeder Information über den Betroffenen genauer individualisiert werden könnte. Selbst wenn die Möglichkeit der Nutzung eines Datums für weitere Individualisierung nicht gegenwärtig offensichtlich wäre, so könnte dieses Datum jedenfalls für weitere Analysen genutzt werden, aus denen sich Individualisierungsmöglichkeiten ergeben könnten. Andererseits würde diese Sichtweise dazu führen, dass Datenverarbeitungen, die besonders umfassend und sensibel sind, weil sie viel über den Betroffenen preisgeben, erforderlicher wären als weniger umfassende Verarbeitungen, die weniger preisgeben. Das Erforderlichkeitsmerkmal würde sensible Verarbeitungen bevorzugen. Dies würde es zudem bei dem berechtigten Interesse im Sinne des Art. 6 Abs. 1 lit. f DS-GVO tun, obwohl dieses, wie oben dargelegt, vom Betroffenen kaum beeinflusst werden kann und vom Verantwortlichen großzügig defininiert werden wird. Dabei kann ein Interesse wie die Direktwerbung beziehungsweise das Voter Targeting oder das Scoring auch ohne die Bildung eines Persönlichkeitsprofils verfolgt werden. Schließlich sind Direktwerbung und Scoring alte, die Profilbildung aber eine junge Erscheinung. Die Profilbildung ist damit nicht unabdingbar für die Interessenwahrung, sei es zur Werbung oder zur Beurteilung von Kredit- oder Versicherungswürdigkeit, und nicht als erforderlich im Sinne der Norm anzusehen. Da das Erforderlichkeitsmerkmal allerdings auch anders gesehen werden kann, wird die Prüfung hier gleichwohl fortgesetzt.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO209

Zu den Interessen, Grundrechten und Grundfreiheiten, die gegen die Verarbeitung sprechen, zählt zunächst das rein ideelle Interesse daran, dass kein Datenverarbeiter ein Profil der Persönlichkeit bilden soll. Im Allgemeinen besteht nämlich ein Interesse daran, nicht ausgeforscht zu werden. Dieses würdigen auch die Grundrechte auf Privatheit der Art. 7; 8 EUGRCharta. Interessen an der eigenen Privatheit können auch gegen die Weitergabe personenbezogener Daten an Dritte sprechen. Es kann weiterhin ein ideelles Interesse daran bestehen, nicht Ziel personalisierter Direktwerbung oder politischer Werbung und Voter Targeting zu werden. (b) Abwägung des Verarbeitungsinteresses mit den Betroffenengründen Die Interessen, zu deren Wahrung die Verarbeitung erforderlich ist, sind schließlich mit den Interessen, Grundrechten und Grundfreiheiten, die der Verarbeitung widersprechen, abzuwägen. Hierfür sind, wie oben dargelegt, die Vorhersehbarkeit der Verarbeitung, die Beziehung zwischen den Beteiligten, getroffene Schutzmaßnahmen sowie die Intensität der Verarbeitung zu untersuchen. (aa) Vorhersehbarkeit der Verarbeitung Es ist zunächst entscheidend, ob der Betroffene auf die Bildung von Persönlichkeitsprofilen hingewiesen wurde. Bei der Bildung von Persönlichkeitsprofilen werden der Personenbezug vorher belangloser Daten hergestellt und es werden neue Erkenntnisse in Form von personenbezogenen Daten generiert. Damit kann der Betroffene nicht rechnen, weil er nicht wissen kann, welche Daten so entstehen. Die Bildung von Persönlichkeitsprofilen hat damit immer ein unvorhersehbares Element. Dem kann nur mit einem Hinweis begegnet werden, aus dem der Betroffene schließen kann, welche auf ihn bezogene Daten zugeordnet und generiert werden könnten. Zwar gibt es Unternehmen, bei denen der Betroffene erwarten könnte, dass sie personenbezogene Daten in großen Mengen verarbeiten. Daraus allein lässt sich aber nicht notwendigerweise ableiten, dass auch neue personenbezogene Daten generiert werden. Insbesondere hat der Betroffene keine Kenntnis darüber, welche Daten geschaffen werden könnten, was aber entscheidend für die Bewertung der Zulässigkeit ihrer Verarbeitung ist. Soweit Unternehmen große Datenmengen verarbeiten und Nutzungs- oder ähnliche Profile erstellen, werden zwar neue personenbezogene Daten generiert. Weil es sich hierbei nur um Profile zur Nutzung eines bestimmten Dienstes handelt, nicht zur gesamten Persönlichkeit, ist die Art der zu schaffenden Daten vordefiniert. Sie sind zwar vorhersehbar, hier aber auch nicht

210

C. Deliktische Haftung

Untersuchungsgegenstand. Erst wenn mehrere solcher Profile und andere Daten im großen Umfang zusammengeführt werden, können Persönlichkeitsprofile entstehen. (bb) Beziehung zwischen den Beteiligten Weil bei der Bildung eines Persönlichkeitsprofils personenbezogene Daten neu generiert und zugeordnet werden, entgleitet dem Betroffenen die Kon­ trolle über seine Daten. Er kann auf die Profilbildung nämlich nicht einwirken. Ihm fehlt es bereits an einem tatsächlichen Zugriff auf die algorithmische Verarbeitungsebene, weil sie regelmäßig auf Cloudservern und damit von ihm örtlich getrennt stattfinden werden. Sie ist ohnehin zu komplex, als dass er ihre Entstehung nachvollziehen und verändern könnte. Akkumulation und Profilbildung sind außerdem kontinuierlich fortlaufende Prozesse, die bessere Ergebnisse produzieren, je länger sie andauern. Sie verstärken sich dabei gegenseitig, weil Profile selbst „akkumuliert“ werden können und weil, wenn Profile gebildet wurden, mehr akkumulierte Daten einer Person zugeordnet werden können. Daher können der Umfang und die Tiefe der Erkenntnisse eines Persönlichkeitsprofils stetig aber für den Betroffenen unkontrollierbar gesteigert werden. Persönlichkeitsprofile lassen sich, ungeachtet der datenschutzrechtlichen Zweckbestimmung, auf technischer Ebene für unzählige Zwecke verwenden. Mit der zunehmenden Digitalisierung könnte sich ihre Verwendung nicht nur auf jeden Lebensbereich ausbreiten, sondern zukünftig auch in Formen angewandt werden, die heute noch gar nicht vorhersehbar sind. Neue Verwendungsmöglichkeiten wahrzunehmen liegt nicht in der Hand des Betroffenen, sondern in der des Verantwortlichen. Dieser bewahrt stets die Kontrolle. Durch die Profilbildung verschiebt sich die Beziehung daher stetig zulasten des Betroffenen. Diese, sich selbst verstärkende, kontinuierliche Entwicklung erhöht die Position des Verantwortlichen im Markt. Je weiter seine Möglichkeiten steigen, Persönlichkeitsprofile zu bilden, desto weiter steigen die Möglichkeiten, diese wirtschaftlich zu verwenden. Dies ist bereits in der ursprünglichen Profilbildung angelegt. Handelt es sich bei dem Verantwortlichen um ein breit aufgestelltes, international agierendes Unternehmen, wird diese Entwicklung zusätzlich beschleunigt. Durch ein Profil der Persönlichkeit werden viele verschiedene Bereiche eines Menschen besonders tiefgehend rekonstruiert. Dadurch wird ein häufig unternehmerischer Verarbeiter in eine Position gebracht, die sonst kaum natürliche Personen einnehmen könnten. Sofern es Menschen gibt, die einen ähnlichen Informationsstand bezüglich eines Mitmenschen haben, sind sie diesem regelmäßig über familiäre- oder soziale Verhältnisse eng verbunden.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO211

Diese sind häufig von einem Vertrauensverhältnis geprägt und können von den Beteiligten gestaltet werden. Zwischen dem Verarbeitenden und dem Betroffenen besteht kein vergleichbares Vertrauensverhältnis. Auch mit einem Arzt- oder Anwaltsverhältnis ist es regelmäßig nicht vergleichbar. Die Bildung von Persönlichkeitsprofilen kann als „Big Data“-Anwendung bezeichnet werden. Wenn bei „Big Data“-Anwendungen Aspekte natürlicher Personen bewertet werden, werden gerade solche Informationen über sie verarbeitet, die sie nicht verarbeitet wissen wollten.614 Ohne den Einsatz von „Big Data“ wäre dies nicht möglich gewesen. Technologien aus diesem Bereich stehen, aufgrund der Kosten, die sie verursachen, regelmäßig nicht dem Betroffenen, sondern nur dem für die Verarbeitung Verantwortlichen zur Verfügung. Auch hieran zeigt sich die Einseitigkeit der Beziehung zwischen den Beteiligten. (cc) Schutzmaßnahmen Organisatorische und technische Maßnahmen, die den Betroffenen schützen, die Bildung eines Persönlichkeitsprofils aber nicht beschränken, würden sich in der Abwägung zwar zugunsten der Verarbeitung auswirken. In Betracht kommt etwa eine funktionale Separierung der personenbezogenen Daten, über die der Verantwortliche verfügt. Denkbar ist auch ein Opt-out Mechanismus, mit dem der Betroffene die Profilbildung unterbinden kann. Aufgrund des inhärenten Transparenzdefizits kann ein Opt-out Mechanismus aber keine abschließende Lösung sein. Auch eine funktionale Separierung kann die unkontrollierte Datengenerierung nicht aufheben, sondern nur einschränken. Zudem dürften solche Maßnahmen hoch komplex und nur mangelhaft kontrollierbar sein. Keine der betrachteten Schutzmaßnahmen schützt den Betroffenen ausreichend. (dd) Intensität der Verarbeitung Die Zusammenführung von Daten aus verschiedenen Lebensbereichen, die ansonsten unverbunden nebeneinanderstehen, wird als besonders risikoreich angesehen.615 Dies ergibt sich einerseits aus den vielfältigen Verwendungsmöglichkeiten, die ein Profil einer Persönlichkeit hat. Bei der Profilbildung handelt es sich um eine Datenverarbeitung, die gerade zum Ziel hat, äußerst intensiv zu sein. Das Erstellen von „persönlichen Profilen“ wird auch von ErwG. 75 DS-GVO ausdrücklich als Risiko für die Rechte und Freiheiten DuD 2016, 581, 583. Lewinski/Pohl, ZD 2018, 17, 20.

614  Richer, 615  von

212

C. Deliktische Haftung

des Betroffenen gewertet. Durch die Bildung von Persönlichkeitsprofilen entstehen Kommunikations-, Standort- und intime Daten, wenn auch nicht ausschließlich sensitive Daten im Sinne der Definition des Art. 9 Abs. 1 DSGVO. Die Verarbeitung sensitiver Daten auf Grundlage des Art. 6 Abs. 1 lit. f DS-GVO zu rechtfertigen, ist prinzipiell ausgeschlossen. Dies kann allein nach Art. 9 Abs. 1 DS-GVO geschehen, der aber kein rechtfertigendes berechtigtes Interesse anerkennt. Schließlich handelt es sich bei der Bildung eines Persönlichkeitsprofils um eine große Menge personenbezogener Daten, die mehrere persönliche Aspekte bewerten. Die Generierung neuer Daten entspricht darüber hinaus dem Erstellen von Vorhersagen über den Betroffenen, was als intensive Form der Verarbeitung anerkannt ist. Solche Daten sollen auch im möglichst großen Umfang entstehen. Schon die Nutzung durch den Verantwortlichen selbst ermöglicht die Beeinflussung des Betroffenen. Sollte ein solcher Datensatz einem Datendiebstahl zum Opfer fallen, entstünden zudem weitere, umfangreiche Möglichkeiten, dem Betroffenen zu schaden. (ee) E  rgebnis zur Bildung von Persönlichkeitsprofilen als berechtigtes Interesse Die Profilbildung ist für die Interessenwahrung nicht erforderlich, für den Betroffenen nicht vorhersehbar, Ausdruck einer einseitigen Beziehung zwischen Verantwortlichem und Betroffenem und eine äußerst intensive Form der Datenverarbeitung. Schutzmaßnahmen könnten die Risiken zwar einhegen, aber nicht aufheben. Die Bildung von Persönlichkeitsprofilen kann kein berechtigtes Interesse sein und nach Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt werden. (5) Verwendung von Persönlichkeitsprofilen als berechtigtes Interesse Auch für die Verwendung von Persönlichkeitsprofilen gilt, dass sie nach Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt sein kann, wenn mit ihr ein berechtigtes Interesse verfolgt wird, die Verwendung als Verarbeitungskomplex für die Interessenwahrung erforderlich ist und die Interessen, Grundrechte oder Grundfreiheiten des Betroffenen nicht überwiegen. (a) Verarbeitungsinteresse, Erforderlichkeit und Betroffenengründe Die Interessen, für die bereits die Daten akkumuliert und die Persönlichkeitsprofile gebildet wurden, werden mit der Verwendung von Persönlichkeitsprofilen realisiert. Mit der Profilverwendung können Markt- und Kun-



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO213

denforschung, Produkt- und Diensteindividualisierung, Verkauf, Direktwerbung, Kundenneugewinn, Bonitätsdatengenerierung, Überschuldungsschutz, Missbrauchs- und Betrugsveränderung, Voter Targeting und Weiterveräußerung an Dritte verfolgt werden. Diese Anliegen können nur dann als berechtigte Interessen die Verarbeitung rechtfertigen, wenn sie im Verarbeitungszweck ausgewiesen sind. Die Verarbeitung ist für die genannten Interessen erforderlich, wenn sie unabdingbar ist und zwischen Verarbeitung und Interessenwahrung kein Zwischenschritt mehr gemacht werden muss. Weil mit der Profilverwendung die Interessenwahrung erfolgt, ist ein Zwischenschritt nicht mehr nötig. Fraglich ist, ob die Profilverwendung auch unabdingbar ist. Wie bei Akkumulierung und Profilbildung könnte auch hier gelten, dass das jeweilige Interesse besser verfolgt werden könnte, je mehr personenbezogene Daten verwendet werden würden. So könnte etwa prinzipiell jedes Datum zum Konsumverhalten oder zum sozialen oder erwerbstätigen Verhalten, eine bessere Einschätzung der finanziellen Möglichkeiten des Betroffenen ermöglichen. Allerdings gilt auch hier, dass berücksichtigt werden muss, dass das berechtigte Interesse einseitig vom Verantwortlichen festgelegt wird und der Betroffene weniger Einfluss hat. Daher ist hier nicht maßgeblich, ob das Interesse so effektiv wie möglich verfolgt wird. Kann das Interesse auch ohne die Verwendung von Persönlichkeitsprofilen verfolgt werden, ist die Profilverwendung nicht unabdingar, auch wenn dies aus einem weniger effektiv verfolgtem Interese resultiert. Dies ist hier der Fall. Werbung kann auch auf Grundlage „einfacher“ Profile zum jeweiligen Lebensbereich oder ohne Profile geschaltet werden. Dasselbe gilt für die Beurteilung der Bonität und die Verfolgung der anderen vorgeannten Interessen. Vollumfängliche Persönlichkeitsprofile zu verwenden, ist nicht zwingend notwendig und nicht unabdingar. Wie bei der Profilbildung wird die Prüfung dennoch fortgesetzt, da diese Subsumtion nicht zwingend von allen geteilt werden muss. Gegen die Verwendung eines Persönlichkeitsprofils besteht ein ideelles Interesse des Betroffenen. Durch die Verwendung von Persönlichkeitspro­ filen wird nämlich sein umfassendes Abbild für die wirtschaftlichen oder ideellen Interessen eines anderen eingesetzt. Insofern die Profilverwendung Auswirkungen hat, die die wirtschaftliche Belastbarkeit des Betroffenen übersteigen, hat der Betroffene ein wirtschaftliches Interesse am Unterlassen der Profilverwendung. Soll er durch sie politisch beeinflusst werden, so besteht ihr gegensätzliches Eigeninteresse an unbeeinflusster Meinungsbildung. Dies gilt auch bei Direktwerbung für Konsumgüter.

214

C. Deliktische Haftung

(b) Abwägung des Verarbeitungsinteresses mit den Betroffenengründen Bei der Abwägung der Verarbeitungsinteressen mit den Betroffenengründen wird, wie oben, auf die Vorhersehbarkeit der Verarbeitung, die Beziehung zwischen den Beteiligten, mögliche Schutzmaßnahmen und die Intensität der Verarbeitung abgestellt. (aa) Die Vorhersehbarkeit der Verarbeitung Zunächst ist zu berücksichtigen, inwiefern die Verwendung von Persönlichkeitsprofilen vorhersehbar ist. Soweit bekannt, werden Profile, die die gesamte Persönlichkeit einer natürlichen Person abbilden, nicht verwendet. Zwar gibt es Unternehmen, deren Geschäftsmodell aus der Verwendung personenbezogener Daten besteht, beispielsweise Google. Unternehmen wie dieses werden zur Bildung und Verwendung von Profilen in der Lage sein. Hierbei handelt es sich aber, soweit ersichtlich, nicht um Persönlichkeits­ profile, sondern um Profile, die sich auf bestimmte Aspekte beschränken. Hierunter fallen etwa Profile über die Nutzung eines Dienstes, von Webseiten oder Kredit- oder Versicherungsscorewerte. Daher kann der Betroffene grundsätzlich nur die Verwendung solcher beschränkten Profile erwarten, nicht aber die Verwendung von Persönlichkeitsprofilen. Ihre Verwendung ist folglich nicht vorhersehbar. (bb) Beziehungen zwischen den Beteiligten Im Folgenden wird die Beziehung zwischen den an der Profilverwendung Beteiligten bewertet. Wird ein Profil der Persönlichkeit eingesetzt, bedeutet dies eine effektive Verfolgung des jeweiligen Ziels. So ist etwa die Wirkung von Direktwerbung am höchsten, wenn Zeit und Ort ihrer Schaltung sowie ihr Inhalt unter Verwendung eines Persönlichkeitsprofils auf die einzelne, natürliche Person zugeschnitten werden. Der Verantwortliche hat daher einen Anreiz, Persönlichkeitsprofile ohne Berücksichtigung des Willens des Betroffenen zu verwenden. Der Betroffene kann sich dem kaum entziehen. Wird ein Persönlichkeitsprofil verwendet, ist dies in aller Regel Ausdruck eines deutlichen Ungleichgewichts der Informationen. Der häufig unternehmerische Verantwortliche weiß über den Betroffenen wesentlich mehr als der Betroffene über den Verantwortlichen. Die Profilverwendung versetzt den Verantwortlichen so in eine dominante Position. Neben der Dominanz gegenüber dem Betroffenen fördert die Profilverwendung auch Wettbewerbsverzerrungen und die Einnahme einer marktbeherrschenden Stellung, jedenfalls soweit das Profil für wirtschaftliche Zwe-



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO215

cke eingesetzt wird. Der Verantwortliche kann nämlich seine Werbung genauestens platzieren und seine Angebote maximal individualisieren. Konkurrenten, die kein Persönlichkeitsprofil verwenden, geraten dadurch in einen Nachteil. Aufgrund des Umfangs der Datenverarbeitung und der dadurch verursachten Kosten, wird der Einsatz von Persönlichkeitsprofilen aber nicht jedem Marktteilnehmer möglich sein. Die Profilverwendung ist daher ein zur Marktbeherrschung führendes Unterscheidungsmerkmal. Es hat umso mehr Gewicht, wenn der Verantwortliche im konkreten Fall bereits marktbeherrschend auftritt. Die Verwendung von Persönlichkeitsprofilen für wirtschaftliche Interessen führt allerdings häufig auch zu einer Erhöhung der Sicherheit der Nutzung von Onlinediensten. Eine große Datenfülle ermöglicht, einzelne Betroffene wiederzuerkennen. Dies erschwert Identitätsdiebstahl. Die Profilverwendung trägt auch zum Funktionieren der versicherungs- und kreditgebenden Wirtschaftszweige bei. So profitiert nicht nur der Kreditgeber wirtschaftlich von einer genauen Bonitätsbewertung des Betroffenen, indem das Ausfallrisiko minimiert wird. Er trägt auch zum Erhalt der Funktionsfähigkeit seiner Branche bei. Die Erhaltung einer Branche und damit von Arbeitsplätzen liegt prinzipiell im öffentlichen Interesse, was sich zugunsten der Verarbeitung auswirkt. Auch die Verarbeitungssicherheit ist ein öffentliches Interesse. Wie ein öffentliches Interesse mit der konkreten Rechtsposition des einzeln Betroffenen abzuwägen ist, ist Gegenstand umfangreicher gesellschaftlicher Debatten. Ihr Ergebnis besteht regelmäßig in einer differenzierenden Beurteilung, die den jeweiligen Einzelfall berücksichtigt. Diese Einzelfallbeurteilung sollte nicht dem Verantwortlichen überlassen werden. Dessen Einschätzung wird eine starke Tendenz zur Selbstbevorzugung aufweisen und so den Erhalt des öffentlichen Interesses untergraben. Vielmehr sollte sie der Betroffene selbst vornehmen, indem er seine Einwilligung in die Verwendung seines Persönlichkeitsprofils entweder erteilt oder verweigert, nachdem er angemessen informiert wurde. Damit die Einwilligung maßgeblich ist, muss eine Rechtfertigung durch Art. 6 Abs. 1 lit. f DS-GVO abgelehnt werden. Die Beziehung zwischen den an der Profilverwendung Beteiligten spricht also dafür, dass die Abwägung ihrer Interessen zulasten des Verantwortlichen ausfällt. (cc) Schutzmaßnahmen Maßnahmen zum Schutz der Rechtsposition des Betroffenen, könnten etwa in technischer Hinsicht die Nutzung von Persönlichkeitsprofilen auf bestimmte Verwendungen beschränken. Dies ließe sich etwa durch funktionale Separierung oder Löschung der Profildaten nach Verwendung erreichen. Positiv würden sich auch Opt-out Mechanismen auswirken, der bei der Pro-

216

C. Deliktische Haftung

filverwendung leichter transparent umsetzbar ist als bei der Profilbildung. Die Sinnhaftigkeit dieser Mechanismen kann allerdings nur im Einzelfall beurteilt werden. (dd) Intensität der Verarbeitung Werden Profile verwendet, die die gesamte Persönlichkeit des Betroffenen abbilden, können sie auch intime und sensitive Daten enthalten. Soweit solche besonderen Kategorien verwendet werden sollen, kann die Verarbeitung nicht durch Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt werden. Schließlich bedarf es nach Art. 9 Abs. 2 DS-GVO der Einwilligung. Auch Art. 22 DSGVO verbietet das Stützen von Einzelfallentscheidungen ausschließlich auf automatisierte Verarbeitung, wozu auch Profiling im Sinne des Art. 4 Nr. 4 DS-GVO zählt. Hierbei handelt es sich um eine intensive Verwendungsmöglichkeit von Persönlichkeitsprofilen, die das Gesetz ausdrücklich ausschließt. Die Rechtfertigung von automatisierten Einzelfallentscheidungen als berechtigtes Interesse ist ausgeschlossen. Im Umkehrschluss bedeutet dies aber auch, dass die Verwendung von Persönlichkeitsprofilen in anderen Fällen möglich sein muss. Aber auch Verarbeitungen, die nicht Spezialnormen unterfallen, können einen tiefen Eingriff in die Rechtsposition des Betroffenen darstellen. Schließlich werden die Daten in besonders großem Umfang verwendet. Zudem entsteht dadurch ein hoher Intimitätsgrad, da umfassende und tiefe Erkenntnisse aus verschiedenen Bereichen des persönlichen Lebens des Betroffenen eingesetzt werden. Anders als bei der Beantwortung der Frage nach der Einordnung der Profilbildung als berechtigtes Interesse, stehen hier konkrete Verwendungsszenarien im Vordergrund. Es geht weniger um das abstrakte Missbrauchspotenzial eines Persönlichkeitsprofils. Weil sich einzelne Verwendungen besser kon­ trollieren lassen als ungewisse, potenzielle Verwendungen, ist der Kontrollverlust für den Betroffenen hier geringer. Dennoch ergeben sich stets Gefahren. So kann der Betroffene durch den konkreten Einsatz vielfältig beeinflusst werden. Genauestens platzierte Werbung kann ihn nicht nur Dienste und Produkte erwerben lassen, die er ohne Verwendung seines Persönlichkeitsprofils nicht erworben hätte. Es könnten auch Suchtpotenziale ausgenutzt und zu Ausgaben verführt werden, die das verfügbare Einkommen des Betroffenen überschreiten. Zudem könnte dem Betroffenen eine politische Meinung aufgedrängt werden. Werden Darstellung von Diensten, Produkten oder politischen Meinungen im hohen Maße auf den Betroffenen zugeschnitten, setzt dies einen starken Anreiz, sich nicht nach Alternativen umzusehen. Dementsprechend ordnet auch ErwG. 75 DS-



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO217

GVO die Nutzung persönlicher Profile und die Verarbeitung großer Datenmengen als ein besonderes Risiko für die Rechte und Freiheiten natürlicher Personen ein. Da hier Persönlichkeitsprofile aber nicht ausdrücklich verboten werden, muss es Fälle geben, in denen die Verwendung von Persönlichkeitsprofilen trotz ihrer hohen Gefahr zulässig ist. Die Verwendung von Persönlichkeitsprofilen kann auch Vorteile für den Betroffenen haben. So wird er Werbung, Produkten und Diensten, die ihm weniger entsprechen, im geringeren Maße ausgesetzt, was einen Zuwachs an Komfort bedeutet. Hier stehen sich regelmäßig ein Komfortgewinn mit umfangreichen, intimen Verarbeitungen und ein Missbrauchspotenzial gegenüber. In einer Abwägung dürften Komfortgewinne aber als geringer zu gewichten sein als das Gefahrenpotenzial. Durch die Verwendung von Persönlichkeitsprofilen könnten auch die Kreditwürdigkeit des Betroffenen abgesichert616 und seine Ausfallrisiken minimiert werden617. Dies könnte die Eingehung von Verpflichtungen, die er nicht bedienen kann, verhindern, was seine wirtschaftliche Existenz schützen könnte. Warum das ideelle Privatheitsinteresse hier überwiegen sollte, ist nicht ersichtlich. Kann kein Überwiegen eines Interesses festgestellt werden, handelt sich um eine „Non liquet“-Lage. Eine solche „Non liquet“-Lage würde für die Rechtfertigung nach Art. 6 Abs. 1 lit. f DS-GVO ausreichen. Dies würde nur insoweit gelten, als dass keine sensitiven Daten verarbeitet werden und die Kredit- oder Versicherungsraten nicht automatisiert festgesetzt werden würden, da sensitive Daten und Automatisierung speziellen Regelungen unterworfen sind. Zudem müsste die Verwendung eines Pesönlichkeitsprofils als erforderlich angesehen werden, was nach hier vertretener Ansicht nicht der Fall ist. (ee) E  rgebnis zur Verwendung von Persönlichkeitsprofilen als berechtigtes Interesse Die Verwendung von Persönlichkeitsprofilen kann mangels Erforderlichkeit für die Wahrnehmung der Interessen des Verantwortlichen und nach Abwägung mit den Betroffenengründen grundsätzlich kein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DS-GVO sein.

ZD 2016, 561, 561. RDV 2017, 3, 5.

616  Moos/Rothkegel, 617  Taeger,

218

C. Deliktische Haftung

(6) Zusammenfassung zum berechtigten Interesse und Persönlichkeitsprofile Die Akkumulierung personenbezogener Daten für die Bildung und Verwendung von Persönlichkeitsprofilen kann nicht als berechtigtes Interesse von Art. 6 Abs. 1 lit. f DS-GVO gerechtfertigt werden. Die Sammlung von Daten aus allen Lebensbereichen ist nicht erforderlich, da sie nicht unabdingbar ist und mit der Bildung und der Verwendung von Persönlichkeitsprofilen noch weitere Zwischenschritte zur Interessenwahrung notwendig sind. Die Bildung und die Verwendung von Persönlichkeitsprofilen sind zur Wahrung eines berechtigten Interesses nach hier vertretener Ansicht nicht erforderlich und kann nach gleichwohl vorgenommener Abwägung mit den Interessen, Grundfreiheiten und Grundrechten des Betroffenen auch nicht gerechtfertigt werden. dd) Übrige Erlaubnisnormen Die Rechtfertigung von Akkumulierung, Bildung und Verwendung von Persönlichkeitsprofilen durch die übrigen Erlaubnissätze wird im Folgenden geprüft. (1) Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DS-GVO) Art. 6 Abs. 1 lit. c DS-GVO erlaubt die Verarbeitung personenbezogener Daten, wenn sie für die Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Der Anwendungsbereich der Norm bezüglich privater Verantwortlicher soll klein sein,618 jedenfalls geringer als bei öffentlichen Stellen.619 Die Verpflichtung soll sowohl unions- als auch mitgliedstaatsrechtlich sein können.620 Vertragliche Verpflichtungen sind ausgeschlossen,621 da für solche die Erlaubnisnormen der lit. a oder lit. b einschlägig sind.622 Als rechtliche Verpflichtungen, von denen zumindest das deutsche Recht viele kenne, sollen etwa solche des Arbeitsrechts (§§ 34, 88 BBiG) in Betracht kommen.623 Für Kreditscoring sind insbesondere die §§ 505a, 505b BGB relevant. Hiernach haben Geber von Verbraucherdarlehen, die Kreditwürdigkeit der Darlehensnehmer zu überprüfen. Wann für eine solche Norm die Verarbeitung erfor618  Albrecht/Jotzo

Datenschutzrecht/Albrecht/Jotzo, Teil 3 Rn. 45. DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 49. 620  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 16. 621  BeckOK DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 48; Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil 3 Rn. 45. 622  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 16. 623  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 17. 619  BeckOK



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO219

derlich ist, ist offen. Die Erforderlichkeit soll aber jedenfalls immer dann gegeben sein, wenn diese eine Verarbeitung personenbezogener Daten anordnet.624 Die Kreditwürdigkeit lässt sich allerdings auch überprüfen, ohne Daten zu akkumulieren, Persönlichkeitsprofile zu bilden und sie zu verwenden. Schließlich sind Bonitätsprüfungen älter als moderne Persönlichkeitsprofile. Eine Rechtfertigung wird hier daher nicht angenommen. (2) Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d DS-GVO) Inwiefern lebenswichtige Interessen Persönlichkeitsprofile erfordern und rechtfertigen könnten, ist nicht ersichtlich. (3) Aufgabe im öffentlichen Interesse (Art. 6 Abs. 1 lit. e DS-GVO) Die Wahrnehmung von Aufgaben im öffentlichen Interesse kann vielfach mit der Verarbeitung personenbezogener Daten im Zusammenhang stehen. Jedenfalls ist eine förmliche Beleihung nicht notwendig, wie sich aus den ErwG. 45 S. 6, 55 f. DS-GVO ergibt.625 Daher könnte, auch wenn sie von privaten Akteuren vorgenommen wird, die Verarbeitung von Daten zur Beurteilung der Kreditwürdigkeit als im öffentlichen Interesse liegend von Art. 6 Abs. 1 lit. e DS-GVO gerechtfertigt sein.626 Dies gilt allerdings nicht für Aktivitäten privater Auskunfteien,627 da insbesondere ein erwerbswirtschaftlicher Zweck verfolgt wird.628 Mit einem öffentlichen Interesse ist dies nicht vereinbar. Stattdessen wird auf den Erlaubnistatbestand des berechtigten ­Interesses nach Art. 6 Abs. 1 lit. f DS-GVO verwiesen.629 Persönlichkeitsprofile, ihre Akkumulierung ebenso wie Bildung oder Verwendung, können daher nicht von Art. 6 Abs. 1 lit. e DS-GVO gerechtfertigt werden. ee) Zwischenergebnis Verstoß gegen die Erlaubnissätze des Art. 6 Abs. 1 DS-GVO Die Akkumulierung, die Bildung von Persönlichkeitsprofilen sowie ihre Verwendung kann bei Einwilligung des Betroffenen nach Art. 6 Abs. 1 lit. a; 7; 4 Nr. 11 DS-GVO gerechtfertigt werden.630 Sollte der hier vertretenen 624  BeckOK

DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 50. Lewinski/Pohl, ZD 2018, 17, 18. 626  von Lewinski/Pohl, ZD 2018, 17, 18. 627  Kühling/Buchner DS-GVO/Buchner/Petri, Art. 6 Rn. 132. 628  Paal/Pauly DS-GVO/Frenzel, Art. 6 Rn. 24. 629  von Lewinski/Pohl, ZD 2018, 17, 18. 630  Siehe oben Abschnitt C.I.1.e)aa)(6). 625  von

220

C. Deliktische Haftung

Ansicht zur in der Regel nicht gegebenen Rechtfertigung durch ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DS-GVO nicht gefolgt werden, wäre zu beachten, dass mehrere Erlaubnissätze kombiniert werden könnten. So könnte ein Persönlichkeitsprofil aufgrund einer Einwilligung von einem Verantwortlichen gebildet worden sein, um von einem anderen Verantwortlichen unter Berufung auf ein berechtigtes Interesse ohne weitere Einwilligung verwendet zu werden. Ausgleichend stünde dem Betroffenen im letzteren Fall ein Widerspruchsrecht nach Art. 21 Abs. 1 DS-GVO zu. Als vorvertragliche Maßnahme oder zur Vertragsdurchführung im Sinne des Art. 6 Abs. 1 lit. b DS-GVO kann über die Einwillung hinaus, keiner der Verarbeitungskomplexe gerechtfertigt werden.631 f) Verstoß gegen die Betroffenenrechte der Art. 12 bis 20 DS-GVO Die Rechte der Betroffenen sind in Kapitel III der Verordnung geregelt. Abschnitt 1 dieses Kapitels beschäftigt sich mit Transparenz und Modalitäten. Abschnitt 2 mit Informations- und Auskunftspflichten und Abschnitt 3 mit Berichtigung und Löschung. Die ersten beiden Abschnitte sollen sich zwar auf die Rechtmäßigkeit der Verarbeitung auswirken, ohne das dies näher begründet wird.632 Sie bestimmen aber nur, welche Maßnahmen neben der Datenverarbeitung getroffen werden müssen. Werden sie nicht getroffen, kann der Betroffene sie individuell durchsetzen oder die Behörde nach Art. 83 Abs. 5 lit. b DS-GVO Geldbußen verhängen. In Abschnitt 3 stellt zwar die Missachtung eines wirksamen Berichtigungs- oder Löschungsanspruchs einen solchen Verstoß dar, es besteht aber kein besonderer Bezug zu Persönlichkeitsprofilen. Kapitel III der Verordnung wird hier daher nicht weiter berücksichtigt. g) Zwischenergebnis Verstoß gegen die Verordnung und Persönlichkeitsprofile Bei der Beantwortung der Frage, ob Persönlichkeitsprofile gegen die Verordnung verstoßen, sind die Datenschutzgrundsätze, spezielle Normen sowie die Erlaubnissätze zu berücksichtigen. Bereits ein Verstoß gegen eine dieser Vorschriften kann die Schadensersatzpflicht nach Art. 82 Abs. 1 DS-GVO auslösen. Während sich der Rechtmäßigkeitsgrundsatz auf einen Verweis auf die Erlaubnissätze beschränkt, erschöpft sich der Grundsatz von Treu und Glau631  Siehe

oben Abschnitt C.I.1.e)bb)(5). DatenSR DS-GVO/Albers/Veit, Art. 6 Rn. 1.

632  BeckOK



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO221

ben, bis auf eine womöglich noch auszugestaltende Korrektivwirkung, in der Beachtung der Transparenz und Informationspflichten. Der Transparenzgrundsatz verpflichtet nicht nur zu einer Darstellung der Verarbeitungskomplexe, aus denen Persönlichkeitsprofile bestehen. Hervorzuheben ist, dass die Darstellung des Verarbeitungskomplexes der Profilbildung betonen muss, dass personenbezogene Daten neu generiert werden und um welche Kategorien es sich hierbei handelt. Stets muss deutlich sein, wofür das Persönlichkeitsprofil verwendet werden soll. Gefordert ist zudem die Darstellung der Empfänger von Daten, und zwar auch dann, wenn eine verarbeitende Stelle nur einen Verarbeitungskomplex ausführt. Der Zweckbindungsgrundsatz verlangt, dass Verarbeitungen zu einem eindeutigen, festgelegten und legitimen Zweck erfolgen und mit diesem vereinbar sein müssen. Verarbeitungen für Persönlichkeitsprofile können der geforderten Zweckbestimmung nur dann genügen, wenn die Akkumulierung, die Bildung und die Verwendung der Persönlichkeitsprofile als jeweilige und getrennte Zwecke aufgeführt und erläutert werden. Das bedeutet, dass bei der Zweckbestimmung der Akkumulierung der Zweck die Vielfältigkeit der Quellen wiedergeben muss. Bei der Profilbildung muss, in Parallelität zum Transparenzgrundsatz, die Generierung neuer personenbezogene Daten aufgenommen werden. Die Zwecke aller Verarbeitungsschritte müssen die beabsichtigte Verwendung des Persönlichkeitsprofils aufzeigen. Nicht zulässig ist es, dass der Zweck die automatisierte Einzelfallentscheidung oder schlicht „Persönlichkeitsprofile“, „Werbung“ oder „Verbesserung der Nutzererfahrung“ vorsieht. Werden Primärzwecke wie hier erörtert festgelegt, ist die Weiterverarbeitung nach Art. 5 Abs. 1 lit. b HS. 1 DS-GVO zulässig. Die Bewertung der Zulässigkeit der Weiterverarbeitung zu Sekundärzwecken nach Art. 6 Abs. 4 DS-GVO muss differenzieren. Die Akkumulierung ist grundsätzlich zulässig. Sie ist es ausnahmsweise nicht, wenn sie personenbezogene Daten mithilfe eines Sound Beacons oder Device Fingerprinting erhebt, es sich um Verbindungs- oder Verkehrsdaten handelt, oder der Verantwortliche eine marktbeherrschende Stellung ausübt. Weder die Bildung noch die Verwendung von Persönlichkeitsprofilen können allerdings Sekun­ därzwecke sein, zu denen zulässigerweise weiterverarbeitet werden könnte. Zusammenfassend ist zum Zweckbindungsgrundsatz festzustellen, dass Persönlichkeitsprofile als Zweck bestimmt werden können und, wenn dies nicht der Fall ist, eine Verarbeitung weitestgehend nicht möglich ist. Der Grundsatz der Datenminimierung erschöpft sich im Zweckbindungsgrundsatz. Von den oben geprüften Spezialnormen ist zum einen das sich aus Art. 21 Abs. 1 DS-GVO ergebende Widerspruchsrecht gegen die Verwendung von Persönlichkeitsprofilen im Kredit- und Versicherungswesen bedeutsam, so-

222

C. Deliktische Haftung

fern diese auf den Erlaubnissatz des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DS-GVO gestützt werden könnte. Zum anderen könnte nach Art. 21 Abs. 2, 3 DS-GVO der Akkumulierung, der Profilbildung und der Profilverwendung widersprochen werden, wenn sie der Direktwerbung dienen sollen. Dass sich aus Art. 22 DS-GVO ergebene Verbot automatisierter Einzelentscheidungen verbietet die hier beschriebenen Verarbeitungskomplexe nicht, da sie entweder keine Entscheidungsqualität haben oder den Betroffenen nicht erheblich beeinträchtigen. Nur über die Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO kann sowohl die Akkumulierung als auch die Bildung und Verwendung von Persönlichkeitsprofilen gerechtfertigt werden. Weder die Vertragserforderlichkeit nach Art. 6 Abs. 1 lit. b DS-GVO noch ein berechtigtes Interese nach Art. 6 Abs. 1 lit. f DS-GVO können Persönlichkeitsprofile rechtfertigen. Sollen alle Persönlichkeitsprofil-Verarbeitungskomplexe mit der Verordnung „im Einklang stehen“ und ein Verstoß gegen sie vermieden werden, müssen alle hier genannten Anforderungen und Grenzen kumulativ beachtet werden. Andernfalls liegt ein Verstoß gegen die Verordnung vor. 2. Schaden Neben dem Verordnungsverstoß ist eine weitere Haftungsvoraussetzung das Vorliegen eines Schadens. Im Folgenden soll es nicht auf eine konkrete Schadensberechnung ankommen, sondern ob die unzulässige Akkumulierung, Bildung oder Verwendung von Persönlichkeitsprofilen überhaupt einen Schaden darstellen kann. a) Anforderungen Der Schadensbegriff soll dem kollisionsrechtlich zu ermittelndem nationalem Recht entnommen werden, ohne das dies weiter begründet wird.633 Dies wird von anderer Seite bestritten und stattdessen auf das Unionsrecht verwiesen.634 Hierfür spricht, dass eine autonome Auslegung bei EU-Recht grundsätzlich gefordert ist und nur ausnahmsweise auf mitgliedstaatliches Recht zurückgegriffen werden darf.635 Warum hier von diesem Grundsatz abgewichen werden sollte, ist nicht ersichtlich.

633  Sydow 634  Korch,

DS-GVO/Kreße, Art. 82 Rn. 4. NJW 2021, 978, 981; Wybitul DS-GVO/Krätschmer/Bausewein, Art. 82

Rn. 18. 635  Siehe oben Abschnitt C.I.1.c)bb)(1)(a)(aa).



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO223

Die Bestimmung des Schadens nach Art. 82 DS-GVO wird maßgeblich von zukünftiger Rechtsprechung abhängen.636 Jedenfalls gilt, dass er nicht die Effektivität des Anspruchs beeinträchtigen darf und dass er den Zweck der Unionsvorschrift beachten muss.637 Dementsprechend soll der Schadensbegriff weit ausgelegt werden,638 die Anforderungen an das Vorliegen eines Schadens also gering gehalten werden.639 Dass ergibt sich aus dem von Art. 4 Abs. 3 EUV geforderten effet utile, nach dem Rechtsverstöße wirksam geahndet werden müssen, um die Geltung des Rechts zu wahren.640 Es entspricht auch ErwG. 146 S. 3 DS-GVO, der einen weiten Schadensbegriff verlangt.641 Dies soll ermöglichen, dass der Geschädigte umfassend Ersatz verlangen kann.642 Lediglich Bagatellschäden sollen ausgeschlossen sein,643 was allerdings bestritten wird.644 Auf die Differenzmethode kann zurückgegriffen werden. Dabei wird der tatsächliche Zustand, der auf das schädigende Ereignis zurückgeht, mit dem hypothetischen Zustand, der bestünde, wenn das schädigende Ereignis nicht eingetreten wäre, verglichen.645 Der Unterschied zwischen diesen beiden Zuständen stellt den ersatzfähigen Schaden dar. Von Art. 82 Abs. 1 DS-GVO sind Vermögensschäden sowie Nichtvermögensschäden umfasst.646 Ein Schaden ist ein materieller vermögenswerter

636  Bleckat, RDV 2020, 11, 12; Wybitul DS-GVO/Krätschmer/Bausewein, Art. 82 Rn.  19 f. 637  EuGH Urteil v. 10.05.2001, Rs. C-203/99 (Veedfald), Slg. 2001, I-3569, Rn. 27; Sydow DS-GVO/Kreße, Art. 82 Rn. 1. 638  Paal/Pauly DS-GVO/Frenzel, Art. 82 Rn. 10; Sydow DS-GVO/Kreße, Art. 82 Rn. 5. 639  Grabitz/Hilf/Nettesheim/Jakob/Kottmann, Art. 340 AEUV Rn. 110. 640  Paal/Pauly DS-GVO/Frenzel, Art. 82 Rn. 10; Sydow DS-GVO/Kreße, Art. 82 Rn. 1. 641  Paal, MMR 2020, 14, 16. 642  Sydow DS-GVO/Kreße, Art. 82 Rn. 5; Taeger/Gabel DS-GVO/Moos/Schefzig, Art. 82 Rn. 27. 643  Paal/Pauly DS-GVO/Frenzel, Art. 82 Rn. 10. 644  BeckOK DatenSR DS-GVO/Quaas, Art. 82 Rn. 31. 645  EuGH Urteil v. 04.10.1979, verb. Rs. 64/76 u.w. (Dumortier), Slg. 1979, 3091, Rn. 14; EuGH Urteil v. 04.10.1979, Rs. 238/78 (Ireks-Arkady), Slg. 1979, 2955, Rn. 13; EuG Urteil v. 13.07.2005 (Camar), Slg. 2005, II-2741, Rn. 97; Callies/Ruffert/Ruffert, Art. 340 AEUV Rn. 26; Grabitz/Hilf/Nettesheim/Jakob/Kottmann, Art. 340 AEUV Rn. 116. 646  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil  8 Rn. 24; BeckOK DatenSR DS-GVO/Quaas, Art. 82 Rn. 23 f.; Forgó/Helfrich/Schneider/Kosmides, Teil XIII Kapitel 3 Rn. 26 ff.; Korch, NJW 2021, 978, 979 f.; Sydow DS-GVO/Kreße, Art. 82 Rn. 4.

224

C. Deliktische Haftung

oder anderer immaterieller Nachteil.647 Es können also gesellschaftliche wie wirtschaftliche Nachteile einen ersatzpflichtigen Schaden darstellen.648 Auch negative psychologische Folgen können einen immateriellen Schaden im Normsinne darstellen.649 Hierunter fallen etwa ein „Zustand der Ungewissheit und Unsicherheit“650 oder ein „Gefühl der Ungerechtigkeit und der Frustration“.651 Jedenfalls müssen sie „spürbar“ sein.652 Dass psychologische Auswirkungen zu berücksichtigen sind, dient zwar der Effektivität des Art. 82 DS-GVO. Weil sie schwierig zu bestimmen sind, werden sie aber regelmäßig im Zusammenhang mit weiteren Umständen des Einzelfalls gesehen werden müssen. Solche Umstände sind etwa „das Gewicht der Rechtsverletzung“ und „der objektive Umfang der Beeinträchtigung“.653 b) Anwendung auf Akkumulierung, Bildung und Verwendung Es ist zu untersuchen, ob Akkumulierung, Bildung und Verwendung von Persönlichkeitsprofilen, die gegen die DS-GVO verstoßen, einen immateriellen oder sogar einen materiellen Schaden darstellen. Eine verordnungswidrige Akkumulierung personenbezogener Daten ermöglicht es, ein Persönlichkeitsprofil zu bilden und zu verwenden. Dieses kann wegen seines Umfangs universal eingesetzt werden und jeden Lebensbereich des Betroffenen negativ beeinflussen. Er hat faktisch keine Möglichkeiten, auf die Verarbeitung einzuwirken, schließlich findet sie vom Betroffenen räumlich getrennt sowie kontinuierlich statt und ist sehr komplex. So entsteht ein Zustand, in dem der Betroffene auf nicht abschätzbare Weise und in nicht vorhersehbarem Umfang beeinträchtigt werden kann, ohne dass er hierauf Einfluss nehmen könnte. Dadurch wird der Betroffene nicht nur in eine unsichere und schutzlose Lage versetzt. Er wird auch Objekt fremden Handelns. Dies widerspricht der grundgesetzlichen Vorstellung von mündigen und selbstbestimmten Bürgern. Zudem kann eine Handlungsunfähigkeit beim Betroffenen ein spür­ bares Gefühl der Ungerechtigkeit und Frustration entstehen lassen. Dieser Zustand stellt sich bereits mit Verletzung der DS-GVO durch unzulässige 647  Bleckat, RDV 2020, 11, 11; Geiger/Khan/Kotzur/Kotzur, Art. 340 AUEV Rn. 7; Grabitz/Hilf/Nettesheim/Jakob/Kottmann, Art. 340 AEUV Rn. 110 f. 648  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil  8 Rn. 24; BeckOK ­DatenSR DS-GVO/Quaas, Art. 82 Rn. 24. 649  Taeger/Gabel DS-GVO/Moos/Schefzig, Art. 82 Rn. 31. 650  EuGH Urteil vom 08.07.08, Rs. T-48/05 (Franchet), Slg. 2008, II-1585, Rn. 405. 651  EuGH Urteil vom 08.07.08, Rs. T-48/05 (Franchet), Slg. 2008, II-1585, Rn. 411; Grabitz/Hilf/Nettesheim/Jakob/Kottmann, Art. 340 AEUV Rn. 112. 652  Paal, MMR 2020, 14, 16. 653  Sydow DS-GVO/Kreße, Art. 82 Rn. 6.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO225

Akkumulierung ein, ohne das weitere Handlungen nötig wären. Im Rahmen der Gesamtbetrachtung ist auch zu berücksichtigen, dass eine verordnungswidrige Akkumulierung nicht nur die Daten eines einzelnen Betroffenen sammelt, sondern die Daten Vieler. Sie ist ein Massenphänomen und wird in aller Regel ob ihres Umfangs absichtlich betrieben. In der Zusammenschau von Objektivierung und psychologischen Auswirkungen ergibt sich, dass die verordnungswidrige Akkumulierung personenbezogener Daten einen immateriellen Schaden darstellt. Von der Akkumulierung ist allerdings abzugrenzen: Sofern die Sammlung personenbezogener Daten, die der Anspruchsgegner vornimmt, in Tiefe oder Menge zu gering ist, als dass sich ein Persönlichkeitsprofil bilden ließe, entsteht die Unsicherheitslage beim Betroffenen nicht. Eine Schadensersatzpflicht aus anderen Gründen, als „einfache“ Datenverarbeitung ist dabei nicht ausgeschlossen. Ist die verordnungswidrige Akkumulierung personenbezogener Daten als immaterieller Schaden zu werten, muss dies auch für die auf sie folgende verordnungswidrige Profilbildung gelten. Mit ihr wird eine weitreichende Einwirkungsmöglichkeit auf den Betroffenen geschaffen. Es werden akkumuliete Daten analysiert, neu zugeordnet und personenbezogene Daten neu generiert, deren Existenz vor der Profilbildung für den Betroffenen nicht abschätzbar war. Gleichzeitig wird es ihm kaum möglich sein, die faktische Verfügungsmacht über die Profildaten zurückzuerlangen. Der Betroffene ist daher in einer unsicheren und schutzlosen Lage, die sogar die der Akkumulierung übersteigt. Dies ist als immaterieller Schaden zu sehen. Die Verwendung von Persönlichkeitsprofilen unter Verstoß gegen die Verordnung realisiert die aus Akkumulierung und Profilbildung herrührende schutzlose Lage des Betroffenen. Der Betroffene kann sich dieser nur erschwert entziehen. Dies ist ein Schaden immaterieller Art. Es können zudem materielle Schäden folgen. Führt eine verordnungswidrige Verwendung von Persönlichkeitsprofilen zu einer Festlegung von Kredit- oder Versicherungsraten, die höher sind, als sie es ohne die Profilverwendung gewesen wären, stellt diese Differenz einen Nachteil und damit einen materiellen Schaden dar. 3. Kausalzusammenhang zwischen Verstoß und Schaden a) Anforderungen Ein Kausalzusammenhang zwischen Verordnungsverstoß und eingetretenem Schaden wird vom Wortlaut des Art. 82 Abs. 1 DS-GVO gefordert, da der Schaden „wegen“ oder „durch“ den Verordnungsverstoß eingetreten sein

226

C. Deliktische Haftung

muss.654 Der Kausalzusammenhang soll zwar eine Entgrenzung des Schadensersatzanspruches verhindern,655 was er nur kann, wenn seine Anforderungen ausreichend hoch sind. Diese dürfen aber nicht dazu führen, dass die Wirkung des Art. 82 Abs. 1 DS-GVO stark beeinträchtigt wird.656 Eine Mitursächlichkeit ist daher ausreichend.657 Welche weiteren Anforderungen an den Kausalzusammenhang zu stellen sind, wird nicht einheitlich beantwortet. Teilweise wird verlangt, dass sich die Kausalität nach mitgliedstaatlichem Recht richten soll.658 Dies ist allerdings abzulehnen. Warum der Begriff nicht unionsrechtlich-autonom ausgelegt werden soll, wie es bei Unionsrecht grundsätzlich gefordert ist,659 ist nicht ersichtlich. Selbst wenn man von einer grundsätzlich mitgliedstaat­ lichen Bestimmung ausginge, wäre stets entscheidend, dass die Wirksamkeit des Unionsrechts gewahrt würde.660 Im soeben zitierten EuGH-Fall ging es zwar nicht um Datenschutz- sondern um Wettbewerbsrecht. Die Wertung lässt sich aber abstrahieren und auf anderes EU-Recht wie den Datenschutz übertragen. Die volle Wirksamkeit des Unionsrecht lässt sich nur mit Anwendung unionsgerichtlicher Rechtsprechung erreichen. Es ist zudem eine Konsequenz aus ErwG. 146 S. 3 DS-GVO. Hiernach soll sich der Schadensbegriff nach der Rechtsprechung des EuGHs richten, was konsequenterweise auch für die Kausalität gelten muss.661 Schließlich soll mit dem Schadensersatzanspruch auch eine Abschreckungswirkung erzielt werden,662 was etwa dem deutschen Recht grundsätzlich fremd wäre. Bei der Bestimmung der Kausalität sind daher unionsrechtliche Maßstäbe leitend.663 Im Unionsrecht besteht Kausalität, so die ständige Rechtsprechung des EuGH, bei einem unmittelbaren Zusammenhang zwischen rechtswidriger Handlung und Schadenseintritt.664 Dies ähnelt der Adäquanztheorie des deutschen 654  BeckOK DatenSR DS-GVO/Quaas, Art. 82 Rn. 26; Forgó/Helfrich/Schneider/ Kosmides, Teil XIII Kapitel 3 Rn. 28; Paal/Pauly DS-GVO/Frenzel, Art. 82 Rn. 11. 655  Paal/Pauly DS-GVO/Frenzel, Art. 82 Rn. 11. 656  Sydow DS-GVO/Kreße, Art. 82 Rn. 8. 657  BeckOK DatenSR DS-GVO/Quaas, Art. 82 Rn. 26. 658  Paal/Pauly DS-GVO/Frenzel, Art. 82 Rn. 11; Sydow DS-GVO/Kreße, Art. 82 Rn. 8. 659  Siehe oben Abschnitt C.I.1.c)bb)(1)(a)(aa). 660  EuGH Urteil v. 05.06.2014, Rs. C-557/12 (Kone), Rn. 32. 661  Paal, MMR 2020, 14, 17. 662  Paal, MMR 2020, 14, 17. 663  EuGH Urteil v. 05.06.2014, Rs. C-557/12 (Kone), Rn. 31 ff.; Paal/Pauly DSGVO/Frenzel, Art. 82 Rn. 11; Schantz/Wolff Datenschutzrecht/Schantz, Rn. 1250. 664  EuGH Urteil v. 04.10.1979, verb. Rs. 64/76 u.w. (Dumortier), Slg. 1979, 3091, Rn. 21; EuGH Urteil v. 28.06.2007 (Internationaler Hilfsfonds), Slg. 2007, I-5475, Rn. 23; EuG Urteil v. 12.12.2000, T-201/99 (Royal Olympic Cruises), Slg. 2000, ­II-4005, Rn. 26; EuG Urteil v. 20.01.2010 (Sungro), Slg. 2010, II-55, Rn. 47; EuG



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO227

Rechts.665 Daher muss der Schadenseintritt der Verletzungshandlung wertend zugerechnet werden können.666 Ist der Schaden eine „zu weit entfernte“ Folge, besteht keine Kausalität.667 Bei einem allgemeinen Risiko, dass sich im Schaden realisiert hat, ist das etwa nicht der Fall.668 Kausalität besteht aber nicht, wenn der Schaden auch ohne die rechtsverstoßende Handlung eingetreten wäre.669 b) Anwendung auf Akkumulierung, Bildung und Verwendung Die verordnungswidrige Akkumulierung stellt, wie oben erläutert, einen immateriellen Schaden dar. Insoweit ist der unmittelbare Zusammenhang stets gegeben. Dieser immaterielle Schaden wäre auch nicht eingetreten, wenn die Akkumulierung unterlassen worden wäre. In ihr realisiert sich auch nicht nur ein allgemeines Lebensrisiko oder eine fernliegende Folge. Führt die rechtswidrige Akkumulierung zudem zu einem materiellen Schaden, etwa weil Persönlichkeitsprofile gebildet und verwendet werden, besteht auch hier der unmittelbare Zusammenhang. Da Persönlichkeitsprofile nicht ohne Akkumulierung gebildet werden können, muss ihre materiell-schadensauslösende Verwendung der Akkumulierung wertend zugerechnet werden. Die Bildung von Persönlichkeitsprofilen erzeugt unmittelbar einen immateriellen Schaden, indem der Betroffene in eine schutzlose und unsichere Lage versetzt wird. Sie ist für diese notwendigerweise kausal. Auch die Verwendung von Persönlichkeitsprofilen ist stets kausal für daraus entstehenden immateriellen Schaden. Soweit die verordnungswidrige Profilbildung oder -verwendung zu einem materiellen Schaden führt, wie etwa einer schlechteren Bonitätsbewertung, besteht auch hier ein unmittelbarer Zusammenhang. Ohne die Profilverwendung wäre der Bonitätswert nämlich ein anderer.

Urteil v. 19.10.2010 (Gollnisch), Slg. 2010, II-1135, Rn. 110; Grabitz/Hilf/Nettesheim/Jakob/Kottmann, Art. 340 AEUV Rn. 117; Paal/Pauly DS-GVO/Frenzel, Art. 82 Rn. 11. 665  Grabitz/Hilf/Nettesheim/Jakob/Kottmann, Art. 340 AEUV Rn. 117; Groeben/ Schwarze/Hatje/Augsberg, Art. 340 AEUV Rn. 74. 666  Grabitz/Hilf/Nettesheim/Jakob/Kottmann, Art. 340 AEUV Rn. 124. 667  EuG Urteil v. 19.10.10 (Gollnisch), Slg. 2010, II-1135, Rn. 110; Callies/Ruffert/Ruffert, Art. 340 AEUV Rn. 27; Grabitz/Hilf/Nettesheim/Jakob/Kottmann, Art. 340 AEUV Rn. 117. 668  Grabitz/Hilf/Nettesheim/Jakob/Kottmann, Art. 340 AEUV Rn. 117 f. 669  EuG T-572/93 (Odigitria), Slg. 1995, II-2025, Rn. 65; EuG T-230/94 (Ferrugia), Slg. 1996, II-195, Rn. 43 ff.; Geiger/Khan/Kotzur/Kotzur, Art. 340 AUEV Rn. 10; Grabitz/Hilf/Nettesheim/Jakob/Kottmann, Art. 340 AEUV Rn. 117.

228

C. Deliktische Haftung

4. Anspruchsberechtigter a) Anforderungen Wen Art. 82 DS-GVO zum Anspruch berechtigt, ist umstritten. Nach einer Literaturansicht soll derjenige Anspruchsberechtigt sein, der den Schaden erlitten hat, ohne das weitere Einschränkungen, wie etwa datenschutzrecht­ liche Betroffenheit erforderlich seien670 Dann wären beispielsweise auch Familienmitglieder anspruchsberechtigt, denen daraus Nachteile entstünden, dass einem Familienmitglied ein schlechter Kredit- oder Versicherungsscore zugeordnet und höhere Raten verlangt werden würden, was den finanziellen Rahmen der gesamten Familien schmälern würde. Hierfür kann der Wortlaut des Art. 82 Abs. 1 DS-GVO angeführt werden, der „jede Person“ als anspruchsberechtigt sieht. Hätte der Verordnungsgeber die Haftung auf Betroffene begrenzen wollen, hätte er sie Betroffenen ausdrücklich zugesprochen. Das Erfordernis eines Kausalzusammenhangs zwischen Verordnungsverstoß und eingetretenem Schaden engt die möglichen Anspruchsberechtigten ohnehin ein. Für eine weite Auslegung spricht auch, dass ein größerer Kreis der Anspruchsberechtigten den Wirkungsgrad der Deliktsnorm erhöhen würde, was dem nach Art. 4 Abs. 3 EUV geforderten effet utile entspricht.671 Eine weitere Beschränkung auf die datenschutzrechtliche Betroffenheit erscheint unangebracht. Eine andere Ansicht hält hingegen nur Betroffene für anspruchsberechtigt.672 Dafür spricht zunächst, dass ErwG. 146 S. 6 DS-GVO betroffene Personen als Anspruchsberechtigte bezeichnet,673 nicht aber jeden Geschädigten. Auch könnte ein Vergleich mit Art. 78 Abs. 1 DS-GVO gegen einen weiten Anspruchsberechtigtenkreis sprechen. Er behandelt die Rechtewahrnehmung gegenüber einer Aufsichtsbehörde und weist „jede natürliche oder juristische Person“ als Rechteinhaber aus, also nicht nur Betroffene. Diese Formulierung hätte der Verordnungsgeber auch in Art. 82 Abs. 1 DS-GVO verwenden können. Dass er dies nicht getan hat, könnte darauf schließen lassen, dass er nicht „jede natürliche oder juristische Person“ zum Anspruchsberechtigten erheben wollte.674 Dem ist entgegenzuhalten, dass der Vergleich mit Art. 78 Abs. 1 DS-GVO umgekehrt für ein weites Verständnis der An670  BeckOK DatenSR DS-GVO/Quaas, Art. 82 Rn. 37; Schantz/Wolff Datenschutzrecht/Schantz, Rn. 1247; Wybitul DS-GVO/Krätschmer/Bausewein, Art. 82 Rn. 12. 671  Sydow DS-GVO/Kreße, Art. 82 Rn. 10. 672  Forgó/Helfrich/Schneider/Kosmides, Teil  XIII Kapitel 3 Rn. 17; Paal/Pauly DS-GVO/Frenzel, Art. 82 Rn. 7; Sydow DS-GVO/Kreße, Art. 82 Rn. 11 ff. 673  Sydow DS-GVO/Kreße, Art. 82 Rn. 11. 674  Sydow DS-GVO/Kreße, Art. 82 Rn. 11.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO229

spruchsberechtigten sprechen kann: Da beide Normen „jede(r) Person“ Rechte zugestehen, könnte Art. 78 Abs. 1 DS-GVO lediglich zusätzlich klarstellen, dass es sich hierbei um natürliche wie juristische Personen handeln kann. Der Normvergleich mit Art. 78 Abs. 1 DS-GVO lässt daher keine sichere Erkenntnis zu. Ein Vergleich mit Art. 82 Abs. 6, der auf Art. 79 Abs. 2 S. 2 DS-GVO verweist, hilft indes weiter. Danach kann für eine Geltendmachung des Anspruchs das Gericht am gewöhnlichen Aufenthaltsort des Betroffenen angerufen werden. Wären auch Dritte anspruchsberechtigt, hätte dies zur Folge, dass ein Gericht angerufen werden könnte, das keinerlei Verbindung zum Anspruchsberechtigten hat. Das kann nicht gewollt sein. Auch der effet utile des Art. 82 DS-GVO wird nicht durch eine eingeschränkte Auslegung des Anspruchsberechtigten beeinträchtigt. Er bleibt erhalten, solange der Anspruch für die Betroffenen wirksam und effektiv ist.675 Eine weite Auslegung ist hierfür nicht zwingend notwendig. Dazu tritt die teleologische Auslegung. Die Verordnung will nur diejenigen schützen, denen personenbezogene D ­ aten zugeordnet werden können. Dies ist an Art. 1 Abs. 1, 2 DS-GVO zu sehen. Schutzgegenstand sind schließlich die Privatsphäre und personenbezogene Daten der betroffenen Personen. Interessen Dritter sollen von der Verordnung, und damit auch von Art. 82 DS-GVO, nicht geschützt werden. Geht die verordnungswidrige Verarbeitung ausschließlich zulasten des Betroffenen, ist auch nur dieser als anspruchsberechtigt anzusehen. b) Anwendung auf Akkumulierung, Bildung und Verwendung Bei der verordnungswidrigen Akkumulierung, Bildung und Verwendung von Persönlichkeitsprofilen ist stets der Betroffene der verarbeiteten personenbezogenen Daten anspruchsberechtigt. Andere Personen scheiden aus. 5. Anspruchsverpflichteter a) Anforderungen Prinzipiell ist Anspruchsverpflichteter im Sinne des Art. 82 Abs. 2 S. 1 DS-GVO, wem die Verarbeitung zuzurechnen ist.676 Das ist jedenfalls der Verantwortliche im datenschutzrechtlichen Sinne, der in Art. 4 Nr. 7 DSGVO definiert ist. Sind mehrere Verantwortliche an der Verarbeitung betei675  Sydow

DS-GVO/Kreße, Art. 82 Rn. 11. DatenSR DS-GVO/Quaas, Art. 82 Rn. 39; Paal/Pauly DS-GVO/Frenzel, Art. 82 Rn. 12. 676  BeckOK

230

C. Deliktische Haftung

ligt, haften sie dem Geschädigten gegenüber nach Art. 82 Abs. 4 DS-GVO als Gesamtschuldner.677 Zum selben Ergebnis gelangt § 840 BGB,678 sofern er kollisionsrechtlich zur Anwendung berufen ist. Jeder Verantwortliche ist dann zum vollen Ausgleich verpflichtet.679 Damit mehrere Verantwortliche gemeinsam haften, müssen sie allerdings an „derselben“ Verarbeitung (Art. 82 Abs. 4 DS-GVO) beteiligt sein, was bedeutet, dass es sich um denselben Verarbeitungsvorgang handeln muss.680 Was ein Verarbeitungsvorgang ist, bezeichnet Art. 4 Nr. 2 DS-GVO. Danach sind Vorgänge oder Vorgangsreihen erfasst, die etwa mit dem Erheben, Speichern, Offenlegen oder Auswerten zusammenhängen. Ein „Vorgang“ liegt vor, wenn es sich um eine zurechenbare und willensgetragene Handlung handelt.681 Eine „Vorgangsreihe“ ist dementsprechend gegeben, wenn die einzelnen Handlungen untrennbar miteinander verbunden sind. Eine Beteiligung an einem „Vorgang“ ist möglich und sie ist weit zu verstehen.682 Deshalb umfasst sie etwa auch die Weitergabe personenbezogener Daten, die erst vom Empfänger verordnungswidrig verarbeitet werden, weil die Weitergabe notwendige Vorbedingung ist.683 Der weitergebende Verantwortliche kann sich allerdings nach Art. 82 Abs. 3 DS-GVO exkulpieren.684 Dafür muss er nachweisen, „dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“ Auch ein Auftragsverarbeiter kommt gemäß Art. 82 Abs. 1 DS-GVO als Anspruchsverpflichteter in Betracht.685 Er ist allerdings privilegiert und haftet nur nach Art. 82 Abs. 2 S. 2 DS-GVO. Danach muss er entweder eine Pflicht verletzt haben, die die Verordnung speziell Auftragsverarbeitern auferlegt, rechtmäßige Anweisungen des Verantwortlichen missachtet oder gegen sie gehandelt haben. Pflichten des Auftragsverarbeiters werden insbesondere in Art. 28 DS-GVO formuliert. Diese betreffen zuvorderst die Modali­ täten der Verarbeitung. Ihre Verletzung kann allein im Einzelfall beurteilt werden. Dies gilt auch für Fragen nach Missachung rechtmäßiger Anweisungen und Entgegenhandelns. Soweit der Verantwortliche Verarbeitungen anMMR 2020, 14, 18. Datenschutzrecht/Albrecht/Jotzo, Teil  8 Rn. 21; BeckOK ­DatenSR DS-GVO/Quaas, Art. 82 Rn. 44. 679  Forgó/Helfrich/Schneider/Kosmides, Teil XIII Kapitel 3 Rn. 46; Schantz/Wolff Datenschutzrecht/Schantz, Rn. 1253; Sydow DS-GVO/Kreße, Art. 82 Rn. 21; Wybitul DS-GVO/Krätschmer/Bausewein, Art. 82 Rn. 30. 680  Sydow DS-GVO/Kreße, Art. 82 Rn. 22. 681  Sydow DS-GVO/Reimer, Art. 4 Rn. 50. 682  Paal/Pauly DS-GVO/Frenzel, Art. 82 Rn. 13. 683  Paal/Pauly DS-GVO/Frenzel, Art. 82 Rn. 13. 684  Paal/Pauly DS-GVO/Frenzel, Art. 82 Rn. 13. 685  Paal, MMR 2020, 14, 15. 677  Paal,

678  Albrecht/Jotzo



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO231

ordnet, die nach den in dieser Arbeit gewonnen Erkenntnissen unzulässig – folglich rechtswidrig – sind, kommt es nach Art. 28 Abs. 3 S. 3 DS-GVO darauf an, ob der Auftragsverarbeiter die Rechtswidrigkeit erkennen konnte. Dann muss er sie beanstanden. Ob die Erkennbarkeit der Rechtswidrigkeit bei den hier beschriebenen Verarbeitungen um ein Persönlichkeitsprofil aber gegeben ist, erscheint angesichts der Disskussionsbedürftigkeit fraglich. Regelmäßig wird er für Akkumulierung, Bildung und Verwendung von Persönlichkeitsprofilen nicht Anspruchsverpflichteter sein. Sollte der Auftragsver­ erbaiter eigenständig Zweck und Mittel der Verarbeitung festlegen und Profilverarbeitungen durchführen, gilt er gemäß Art. 28 Abs. 10 DS-GVO seinerseits als Verantwortlicher. b) Anwendung auf Akkumulierung, Bildung und Verwendung Wird die Akkumulierung, die Bildung und die Verwendung von Persönlichkeitsprofilen von dem selben Verantwortlichen durchgeführt, ist dieser Anspruchsverpflichteter. Wenn für diese Verarbeitungskomplexe jeweils verschiedene Stellen verantwortlich sind, ist fraglich, ob mehrere Verantwortliche gemeinsam anspruchsverpflichtet sein können. Voraussetzung ist, dass die drei Komplexe eine einzelne Vorgangsreihe sind. Man kann akkumulieren, ohne Persönlichkeitsprofile zu bilden und Persönlichkeitsprofile bilden, ohne sie zu verwenden. Sie können getrennt voneinander durchgeführt werden und sind insofern eigenständig. Von einer untrennbaren Verbundenheit kann nicht ausgegangen werden. Werden daher die Akkumulierung, die Profilbildung und die -verwendung von jeweils anderen Verantwortlichen durchgeführt, sind sie nicht gemeinsam anspruchsverpflichtet. Der Betroffene muss gegen jeden Verantwortlichen gesondert einen Anspruch aus Art. 82 DS-GVO geltend machen. Weiterhin ist zu prüfen, ob mehrere Verantwortliche, die an dem gleichen Verarbeitungskomplex teilnehmen, gemeinsam verantwortlich sind. Das wäre nur dann der Fall, wenn die einzelnen Verarbeitungen eines Verarbeitungskomplexes als dieselbe Verarbeitung im Sinne des Art. 82 Abs. 4 DS-GVO zu sehen wären. Dafür sprechen zwar das gemeinsame Ziel und die Parallelität der Verarbeitungen. Es bleiben aber verschiedene Verarbeitungen. Insbesondere bei der Akkumulierung würde andernfalls etwa die Erhebung eines Standortdatums durch einen Verantwortlichen der Erhebung eines Verbindungsdatums durch einen anderen Verantwortlichen ebenso zugerechnet werden, wie die Speicherung beider Daten durch einen dritten und ihr Empfang durch einen vierten Verantwortlichen. Von „derselben“ Verarbeitung kann hier kaum gesprochen werden. Bei der Profilbildung durch Auswertung des Datensatzes oder der Profilverwendung ist dies durchaus möglich. Wird die Akkumulierung daher von mehreren Stellen durchgeführt, können sie

232

C. Deliktische Haftung

nicht als gemeinsam anspruchsverpflichtet angesehen werden. Bei der Profilbildung und -verwendung kann grundsätzlich davon ausgegangen werden, dass sie von nur einem Verantwortlichen durchgeführt werden. Schließlich bestehen sie gerade aus der Zusammenführung von Daten, beziehungsweise ihrer simplen Verwendung. 6. Exkulpationsmöglichkeit nach Art. 82 Abs. 3 DS-GVO Nach Art. 82 Abs. 3 DS-GVO können sich Verantwortliche von der Haftung nach Abs. 2 befreien, wenn sie darlegen, dass sie für den Umstand, durch welchen der Schaden eingetreten ist, in keinerlei Hinsicht verantwortlich sind. a) Anforderungen aa) Maßstab Der Begriff des „verantwortlich“ sein im Sinne des Art. 82 Abs. 3 DSGVO, ist autonom auszulegen.686 Eine etablierte europarechtliche Definition des haftungsrechtlichen Verantwortlichkeitsbegriffs gibt es gleichwohl nicht. Auch eine Herleitung aus der Verordnung selbst ist mit Unsicherheiten behaftet. So wird die Verantwortlichkeit von ErwG. 146 S. 2 DS-GVO erwähnt, aber nicht erläutert. Auch in der übrigen Verordnung wird der Begriff nicht in einem Kontext verwendet, der auf Art. 82 Abs. 3 DS-GVO übertragbar wäre. Zwar adressiert das materielle Datenschutzrecht den Verantwortlichen. Dieser Verantwortungsbegriff der Art. 4 Nr. 7; 5 Abs. 2 DS-GVO bezieht sich aber auf die Verarbeitung personenbezogener Daten. Art. 82 Abs. 3 DSGVO hat jedoch ausdrücklich die Verantwortlichkeit für den schadensherbeiführenden Umstand zum Gegenstand („verantwortlich ist“). Da die Bezugspunkte verschieden sind, kann der Bedeutungsinhalt nicht übertragen werden.687 Sofern es sich bei Art. 82 DS-GVO um eine „Unrechtshaftung“ handeln sollte, käme es für die Verantwortlichkeit allein auf die Rechtswidrigkeit der Datenverarbeitung an.688 Ein Verschulden wäre danach nicht zu brücksichtigen. Der materiell-datenschutzrechtlich Verantwortliche kann sich aber stets von der Haftung befreien, wenn er darlegt, für die Umstände nicht verantwortlich zu sein. Würde man allein auf die Rechtswidrigkeit abstellen, wäre 686  Forgó/Helfrich/Schneider/Kosmides,

Teil XIII Kapitel 3 Rn. 34. Paal/Pauly DS-GVO/Frenzel, Art. 82 Rn. 15. 688  Forgó/Helfrich/Schneider/Kosmides, Teil XIII Kapitel 3 Rn. 23. 687  Vgl.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO233

die Verantwortlichkeit nicht relevant. Die Einordnung als Unrechtshaftung ist daher abzulehnen. Verantwortlichkeit soll nach anderer Ansicht gegeben sein, wenn der Anspruchsgegner die schädigende Handlung vertreten muss.689 Welcher Maßstab für das Vertretenmüssen anzulegen ist, wird allerdings nicht klar definiert.690 Nach einer weiteren, konsequenten Ansicht soll nicht jedwedes Vertretenmüssen, sondern allein das Verschulden maßgeblich sein.691 Dagegen spricht aber, dass es nach Art. 82 Abs. 1 DS-GVO auf ein Verschulden des Verantwortlichen nicht ankommen darf, weil dieser die Haftung verschuldensunabhängig begründet.692 Gegen einen reinen Verschuldensmaßstab spricht schließlich, dass der Verordnungsgeber diesen hätte ausdrücklich aufnehmen können, hätte er ihn gewollt. Dies hat er beispielsweise in Art. 83 Abs. 2 lit. b DS-GVO getan, wonach bei der Festsetzung einer Geldbuße Vorsatz und Fahrlässigkeit, also ein Verschulden, zu berücksichtigen sind. Ein entsprechender Verweis fehlt in Art. 82 Abs. 3 DS-GVO. Die Verantwortlichkeit auf Verschulden zu begrenzen, ist daher abzulehnen.693 Ist das Vertretenmüssen maßgeblich, kommt es darauf an, ob die schadens­ auslösende Handlung dem Anspruchsverpflichteten zugerechnet werden kann.694 Dies kann bei fehlendem Vorsatz, fehlender Fahrlässigkeit oder auch bei höherer Gewalt ausgeschlossen sein.695 Die Formulierung „in keinerlei Hinsicht […] verantwortlich“ in Art. 82 Abs. 3 DS-GVO verdeutlicht weiterhin, dass eine nur teilweise bestehende Verantwortlichkeit nicht ausreicht, um sich zu exkulpieren.696 Das wird zwar bestritten und eine teilweise Haftungsbefreiung für möglich gehalten, weil dies der Verhältnismäßigkeitsgrundsatz gebiete.697 Dem widerspricht allerdings neben dem Wortlaut der Norm der effet utile des Art. 82 Abs. 1 DS-GVO. Durch einen geringen Anwendungsbereich des Haftungsausschlusses wird die Effektivität der Haftung 689  Forgó/Helfrich/Schneider/Kosmides,

Teil XIII Kapitel 3 Rn. 29 ff. Forgó/Helfrich/Schneider/Kosmides, Teil XIII Kapitel 3 Rn. 33. 691  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil  8 Rn. 22; NK DS-GVO/ Boehm, Art. 82 Rn. 21; Paal, MMR 2020, 14, 17; Schantz/Wolff Datenschutzrecht/ Schantz, Rn. 1251. 692  Forgó/Helfrich/Schneider/Kosmides, Teil  XIII Kapitel 3 Rn. 32; Paal/Pauly DS-GVO/Frenzel, Art. 82 Rn. 6; Wybitul, ZD 2016, 253, 253. 693  Forgó/Helfrich/Schneider/Kosmides, Teil XIII Kapitel 3 Rn. 33. 694  Vgl. Forgó/Helfrich/Schneider/Kosmides, Teil XIII Kapitel 3 Rn. 29. 695  Wybitul DS-GVO/Krätschmer/Bausewein, Art. 82 Rn. 29. 696  Forgó/Helfrich/Schneider/Kosmides, Teil  XIII Kapitel 3 Rn. 29; Sydow DSGVO/Kreße, Art. 82 Rn. 20. 697  Forgó/Helfrich/Schneider/Kosmides, Teil XIII Kapitel 3 Rn. 35. 690  Vgl.

234

C. Deliktische Haftung

nämlich gefördert. Der Verantwortliche kann sich daher nach Art. 82 Abs. 3 DS-GVO nur dann exkulpieren, wenn er für den Verordnungsverstoß, der zum Schaden geführt hat, vollständig nicht verantwortlich ist.698 Dazu muss er darlegen, „dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen“, so ErwG. 74 S. 2 DS-GVO.699 Dies umfasst nicht nur die Rechtmäßigkeit der Verarbeitung und die Wirksamkeit der vom Verantwortlichen eingesetzten geeigneten und wirksamen Maßnahmen zum Schutz des Betroffenen (ErwG. 74 S. 2 DS-GVO). Zu berücksichtigen sind auch die gebotene Sorgfalt700 und nach ErwG. 74 S. 3 DS-GVO die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie das Risiko für die Rechte und Freiheiten des Betroffenen. Der Verantwortliche kann sich mithin nur dann vollständig exkulpieren, wenn er eine Gesamtbetrachtung anstellt. bb) Beweislastumkehr In Art. 82 Abs. 3 DS-GVO könnte eine Beweislastumkehr zu sehen sein.701 Hierfür spricht nicht nur ErwG. 146 S. 2 DS-GVO, wonach der Verantwortliche als Anspruchsverpflichteter nachweisen muss, dass er „in keiner Weise“ für den Schaden verantwortlich ist.702 Es entspricht auch den Verantwortungssphären.703 Faktisch wird regelmäßig allein der Verantwortliche Kenntnis über seine Datenverarbeitungen haben und die Einhaltung der Verordnung beweisen können. Gestützt wird dies zudem von der Rechenschaftspflicht der Art. 5 Abs. 2; 24 Abs. 1 DS-GVO, nach der der Verantwortliche die Zulässigkeit der von ihm durchgeführten Verarbeitungen stets beweisen können muss. ErwG. 146 S. 6 DS-GVO fordert zudem die Durchschlagskraft des Schadensersatzes.704 Die Beweislast dem Betroffenen aufzuerlegen, würde die Durchsetzung des Anspruchs des Art. 82 DS-GVO umgekehrt stark erschweren. Ein solcher Wirkungsverlust wäre mit dem effet utile nicht vereinbar.705 Nicht zuletzt ergibt sich diese Beweislastverteilung aber auch aus Art. 82 Abs. 3 DS-GVO selbst.706 Er bestimmt, dass der Verantwortliche von 698  BeckOK DatenSR DS-GVO/Quaas, Art. 82 Rn. 17; Kühling/Buchner DSGVO/Bergt, Art. 82 Rn. 54; Laue/Kremer Datenschutzrecht/Laue, § 11 Rn. 13. 699  BeckOK DatenSR DS-GVO/Quaas, Art. 82 Rn. 18. 700  BeckOK DatenSR DS-GVO/Quaas, Art. 82 Rn. 18. 701  BeckOK DatenSR DS-GVO/Quaas, Art. 82 Rn. 18; Ehmann/Selmayr DSGVO/Nemitz, Art. 82 Rn. 19, 28. 702  Ehmann/Selmayr DS-GVO/Nemitz, Art. 82 Rn. 19, 28. 703  Ehmann/Selmayr DS-GVO/Nemitz, Art. 82 Rn. 21. 704  Albrecht/Jotzo Datenschutzrecht/Albrecht/Jotzo, Teil 8 Rn. 23. 705  Schantz/Wolff Datenschutzrecht/Schantz, Rn. 1250. 706  Ehmann/Selmayr DS-GVO/Nemitz, Art. 82 Rn. 19, 28.



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO235

der Haftung befreit wird, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“ cc) Beschränkung auf mehrere Verantwortliche? Fraglich ist, ob sich die Exkulpationsmöglichkeit auf Verarbeitungen beschränkt, an denen mehrere beteiligt sind. Art. 82 Abs. 3 DS-GVO bezieht sich nämlich ausdrücklich auf Art. 82 Abs. 2 DS-GVO („[…] von der Haftung gemäß Absatz 2 befreit […]“), der die Verteilung der Verantwortlichkeit regelt, wenn mehrere verantwortliche Stellen oder Auftragsverarbeiter an derselben Verarbeitung beteiligt sind.707 Daraus könnte zu folgern sein, dass die Beweilsastumkehr des Art. 82 Abs. 3 DS-GVO nicht greift, wenn ein Anspruchsverpflichteter allein verarbeitet. Diesem Wortlautargument könnte ein systematisches hinzugefügt werden: Hätte der Verordnungsgeber eine allgemeine Beweislastumkehr einführen wollen, hätte er den ausdrücklichen Verweis des Art. 82 Abs. 3 auf Abs. 2 DS-GVO unterlassen können. Hier ist Entstehungsgeschichte zu betrachten. Die Vorläufernorm des Art. 82 Abs. 3 DS-GVO, Art. 23 Abs. 2 DSRL, sah noch eine Exkulpationsmöglichkeit ohne Beschränkung auf mehrere Verantwortliche vor, ebenso Art. 77 Abs. 3 DS-GVO-KOM. Der Verweis auf mehrere Verantwortliche wurde erst in die finale Version aufgenommen. Dies ist ein Anhaltspunkt dafür, dass der Verordnungsgeber die Exkulpationsmöglichkeit nur bei mehreren Verarbeitern ermöglichen wollte. Dem widerspricht allerdings ErwG. 146 S. 2 DS-GVO, der eine Exkulpationsmöglichkeit vorsieht, wenn „der“ Verantwortliche „in keiner Weise“ für den Schaden verantwortlich ist. Dies gilt auch, wenn ein Verantwortlicher allein verarbeitet. Er enthält daher keinen Hinweis darauf, dass die Exkulpationsmöglichkeit und damit die Beweislastumkehr eingeschränkt werden soll. Hätte der Verordnungsgeber eine derartig weitreichende Begrenzung beabsichtigt, hätte er sie ausdrücklicher bezeichnet. Zudem kann der Hinweis auf Art. 82 Abs. 2 DS-GVO auch so vestanden werden, dass bei mehreren Verantwortlichen ein Einzelner sich bezüglich seines Teils exkulpieren kann. Art. 82 Abs. 3 DS-GVO greift mithin unabhängig davon, ob ein oder mehrere Veranwortliche an der Verarbeitung beteiligt sind. b) Anwendung auf akkumulierte Persönlichkeitsprofile Wird dem Anspruchsverpflichteten vorgeworfen, dass er unter Verstoß gegen die Verordnung personenbezogene Daten akkumuliert, Persönlich707  Sydow

DS-GVO/Kreße, Art. 82 Rn. 13.

236

C. Deliktische Haftung

keitsprofile bildet oder solche verwendet, hat er die Möglichkeit, sich gemäß Art. 82 Abs. 3 DS-GVO zu exkulpieren. Dass er sich hierfür auf Unkenntnis und damit fehlendem Vorsatz berufen kann, dürfte angesichts des Umfangs der Verarbeitungen regelmäßig ausgeschlossen sein. Auch die fahrlässige Erstellung eines Persönlichkeitsprofils erscheint ebenso unwahrscheinlich wie die Profilbildung durch höhere Gewalt. Damit bliebe dem Anspruchsverpflichteten allein der Verweis auf die Rechtmäßigkeit der Verarbeitungen. Sie kann nur in den oben beschriebenen Grenzen rechtmäßig sein.708 Bei der in jedem Fall anzustellenden Gesamtbetrachtung ist zu berücksichtigen, dass es sich ihrer Natur nach um sehr umfangreiche Verarbeitungen handelt, deren Ergebnis ein hohes Risiko für die Rechte und Freiheiten des Betroffenen darstellt.709 Das Gelingen der Exkulpation kann nur im Einzelfall beurteilt werden. Es sieht sich allerdings großen Schwierigkeiten gegenüber. 7. Rechtsfolge a) Grundlagen Weil es der Unionsrechtsordnung an einem eigenen Schadensrecht mangelt, muss sich die Rechtsfolge nach mitgliedstaatlichem Recht richten. Dessen Berufung bestimmt sich nach internationalem Privatrecht. Im deutschen Recht sind dies die §§ 249 ff. BGB.710 Diese bestimmen zunächst, dass haftungsausfüllend die Rechtsgutsverletzung kausal für den eingetretenen Schaden sein muss.711 Die Art der Ersatzleistung besteht primär aus Naturalrestitution (§ 249 Abs. 1 BGB). Sekundär ist für entstandene Vermögensschäden Wertersatz (§ 251 BGB) und für Nichtvermögensschäden eine billige Entschädigung in Geld (§ 253 Abs. 1, 2 BGB) zu leisten.712 Die Rechtsfolge kann auch auf Beseitigung und nach § 1004 BGB auf Unterlassung gerichtet sein, wenn Wiederholungsgefahr besteht.713 Es ist zudem möglich, unabhängig von der Art des Ersatzes, ein Mitverschulden des Geschädigten nach § 254 BGB, entweder direkt714 oder analog715 zu berücksichtigen. Ist der Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO begründet, wird 708  Siehe

oben Abschnitt C.I.1.g). etwa oben Abschnitt A.II. 710  BeckOK DatenSR DS-GVO/Quaas, Art. 82 Rn. 28; Paal/Pauly DS-GVO/Frenzel, Art. 82 Rn. 9. 711  BeckOK DatenSR DS-GVO/Quaas, Art. 82 Rn. 29–30. 712  BeckOK DatenSR DS-GVO/Quaas, Art. 82 Rn. 31. 713  BeckOK DatenSR DS-GVO/Quaas, Art. 82 Rn. 9. 714  Paal/Pauly DS-GVO/Frenzel, Art. 82 Rn. 19. 715  BeckOK DatenSR DS-GVO/Quaas, Art. 82 Rn. 28; 35. 709  Siehe



I. Begründung u. Rechtsfolge des Anspruchs nach Art. 82 Abs. 1 DS-GVO237

der Ersatz des vollständigen Schadens geschuldet.716 Das bedeutet, dass auch entgangener Gewinn, mittelbarer und zukünftiger Schaden zu ersetzen ist, solange er zurechenbar ist.717 Für die Bemessung des immateriellen Schadens können die Kriterien des Art. 83 Abs. 2 DS-GVO herangezogen werden.718 Diese sind Art, Schwere und Dauer des Verstoßes, Vorsatz oder Fahrlässigkeit des Verarbeiters, getroffene Schutzmaßnahmen und die Kategorien der verarbeiteten personenbezogenen Daten. In Orientierung am Urheber- und Lizenzrecht könnten sich hieraus pauschalierte Schadensbestimmungen ergeben.719 Grundlage wäre die Ermittlung des Entgelts, das die Beteiligten vereinbart hätten, hätten sie eine Vereinbarung überhaupt getroffen.720 Wegen des Effektivitätsprinzips ist der Schadensersatz darüber hinaus so zu bemessen, dass er abschreckende Wirkung hat.721 Eine Abschreckungswirkung ist bei der Bemessung zu berücksichtigen. b) Anwendung auf Akkumulierung, Bildung und Verwendung Jeder der Verarbeitungskomplexe stellt, wie oben festgestellt, einen zumindest immateriellen Schaden dar. Als Naturalrestitution könnte die Löschung der personenbezogenen Daten verlangt werden, die Gegenstand von Akkumulierung, Profilbildung und Profilverwendung ist. Ist der Schaden materiell, ist Wertersatz nach § 251 BGB zu leisten. Materieller Schaden kann, wie oben festgestellt, nur bei der Verwendung von Persönlichkeitsprofilen entstehen, die beispielsweise zu schlechteren Kreditoder Versicherungsraten führt, als sich ohne eine Profilverwendung ergeben hätten. Ist der Schaden immateriell, ist nach § 253 Abs. 1 BGB eine billige Entschädigung in Geld zu leisten. Art. 82 Abs. 1 DS-GVO ist ein hierfür erforderlicher gesetzlicher Fall. Wie oben festgestellt, entstehen immaterielle Schäden durch jeden der Verarbeitungskomplexe, also sowohl durch Akkumulierung als auch durch Bildung und Verwendung von Persönlichkeitsprofilen. Über die mögliche Höhe dieser billigen Entschädigung kann zurzeit nur spekuliert werden. Eine Vertragspraxis zwischen Verarbeitern und Be716  Forgó/Helfrich/Schneider/Kosmides,

Teil XII Kapitel 3 Rn. 109. Teil XII Kapitel 3 Rn. 109. 718  BeckOK DatenSR DS-GVO/Quaas, Art. 82 Rn. 31; Korch, NJW 2021, 978, 979; Paal, MMR 2020, 14, 17. 719  BeckOK DatenSR DS-GVO/Quaas, Art. 82 Rn. 34. 720  Vgl. MüKo BGB/Rixecker § 12 Anh. Rn. 352. 721  Paal, MMR 2020, 14, 16; Schantz, NJW 2016, 1841, 1847; Schantz/Wolff Datenschutzrecht/Schantz, Rn. 1254; Sydow DS-GVO/Kreße, Art. 82 Rn. 6; vgl. Paal/ Pauly DS-GVO/Frenzel, Art. 82 Rn. 12a. 717  Forgó/Helfrich/Schneider/Kosmides,

238

C. Deliktische Haftung

troffenen, die Entgelte für Persönlichkeitsprofile oder Akkumulierung vorsehen, die hier Grundlage sein könnte, hat sich noch nicht etabliert. Ein Mitverschulden des Betroffenen ist grundsätzlich nicht ersichtlich. Auch das Bewusstsein darüber, dass seine personenbezogenen Daten verarbeitet werden, kann kein Mitverschulden sein. Ein Bewusstsein dürfte stets gegeben sein. Wenn man es auf die Verantwortung des Verantwortlichen anrechnen würde, würde sich der Haftungsbeitrag in der Regel reduzieren. Eine solche regelmäßige Reduktion entspräche aber nicht dem Leitbild der DS-GVO, dass die Verantwortung beim Verantwortlichen sieht. 8. Zusammenfassung Die Akkumulierung personenbezogener Daten, die Bildung oder die Verwendung von Persönlichkeitsprofilen, können mit der Verordnung nicht vereinbar sind, weil sie gegen die Grundsätze des Art. 5 Abs. 1 DS-GVO, das Verbot automatisierter Einzelentscheidungen nach Art. 22 DS-GVO, ein ausgeübtes Widerspruchsrecht nach Art. 21 DS-GVO verstoßen oder nicht nach Art. 6 Abs. 1 DS-GVO gerechtfertigt sind. Bei entsprechenden Verarbeitungen können Betroffene Schadensersatz nach Art. 82 Abs. 1 DS-GVO geltend machen. Werden die Verarbeitungskomplexe allerdings von verschiedenen Verantwort­lichen durchgeführt, ist gegen diese einzeln vorzugehen. Die Höhe kann derzeit aber nicht abstrakt festgestellt werden. Die Akkumulierung kann zudem nur sehr begrenzt Gegenstand von Ersatzforderung sein, weil sie ihrem Wesen nach grundsätzlich von mehreren Verarbeitern durchgeführt wird, diese aber nicht gemeinsam Anspruchsverpflichte sind.

II. Gesamtergebnis Über Akkumulierung, Bildung und Verwendung von Persönlichkeitsprofilen muss ausreichend aufgeklärt werden. Zudem müssen sie, bis auf enge Ausnahmen bei der Akkumulierung, Primärzweck sein. Dann ist es möglich, dass der Betroffene in sie wirksam einwilligen kann. Andernfalls sind die Verarbeitungen unzulässig und können Schadensersatzforderungen auslösen. Die übrigen Erlaubnistatbestände des Art. 6 DS-GVO rechtfertigen Persönlichkeitsprofile nach hier vertrener Auffasung nicht. Darüber hinaus sind das Widerspruchsrecht sowie das Verbot automatisierter Einzelentscheidungen zu beachten.

D. Fazit Personenbezogene Daten werden mit einigem Recht aber auch einigem Unrecht als das neue Öl bezeichnet. Sie können nicht nur für alle denkbaren Ziele gleichzeitig eingesetzt werden, sie tun dies auch mit beachtlicher Effektivität. Daten sind tatsächlich der Treibstoff der modernen Wirtschaft. Je häufiger Dienste und Produkte auf Einzelne zugeschnitten werden und dies Wettbewerbsvorteile erzeugt, desto mehr wird sich dies als Standard durchsetzen. Umso größer wird der Druck zum Personalisieren. Dadurch werden die Kräfteverhältnisse zunehmend vom Betroffen zum Verarbeitenden verschoben. Dies hat zur Folge, dass eine Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO zunehmend unfreiwillig und damit bedeutungslos sein wird. Wird eine Rechtfertigung durch Einwilligung schwieriger, kommt es vermehrt auf die gesetzlichen Erlaubnistatbestände an. Ihre steigende Bedeutung wird bewirken, dass Persönlichkeitsprofile zunehmend erforderlich für Verträge im Sinne der Art. 6 Abs. 1 lit. b; 22 Abs. 2 lit. a DS-GVO und für berechtigte Interessen im Sinne des Art. 6 Abs. 1 lit. f DS-GVO sein werden. An dem Merkmal der Erforderlichkeit scheitert die Anwendung dieser Erlaubnissätze noch, nach hier vertretener Ansicht. Müssen die Verarbeitungen in Zukunft als erforderlich betrachtet werden, wird einerseits die Anwendung und damit die Bedeutung des Art. 6 Abs. 1 lit. b DS-GVO zunehmen. Andererseits wird sich die Subsumtion vermehrt an den Abwägungen nach Art. 6 Abs. 1 lit. f und 21 Abs. 1 DS-GVO entscheiden. Werden die Verarbeitenden von ihrer Konkurrenz gezwungen sein, die Persönlichkeit der Betroffenen zu verarbeiten, ohne sie zu fragen? Mit der DSGVO könnte dies zukünftig vereinbar sein. Es erscheint angebracht, eine so grundlegende Frage gesetzlich zu regulieren. Die derzeitige Regulierung des „Profiling“ reicht hierfür nicht aus. Zurzeit gilt, dass Persönlichkeitsprofile transparent gemacht werden müssen und dass sie nur bei Einwilligung der Betroffenen zulässig sind. Missachtet der Verantwortliche diese Vorgaben, können Betroffene im Zivilrechtswege Entschädigung verlangen. Es läuft aber darauf hinaus, dass Persönlichkeitsprofile verwendet werden, soweit nicht die Betroffenen selbst dagegen vorgehen. Eine richtungsweisende Gestaltung der digitalen Zukunft ist dem Europäischen Verordnungsgeber insoweit bereits gelungen: Er gibt jedem die Mittel an die Hand, die Verarbeitung seiner Daten aktiv mitzu­ gestalten. Falls Bürger:innen der rechtlichen Vorgaben zum Trotz von der

240

D. Fazit

Mitgestaltung ausgeschlossen werden, verbliebe stets, sich an den Computerpionier Konrad Zuse zu halten: „Wenn die Computer zu mächtig werden, dann zieht den Stecker aus der Steckdose.“

Literaturverzeichnis Acar, Gunes/Eubank, Christian/Englehardt, Steven/Juarez, Marc/Narayanan, Arvind/ Diaz, Claudia: The Web Never Forgets: Persistent Tracking Mechanisms in the Wild, 2014, https://securehomes.esat.kuleuven.be/~gacar/persistent/the_web_ never_forgets.pdf. Albrecht, Jan Philipp/Jotzo, Florian: Das neue Datenschutzrecht der EU – Grundlagen, Gesetzgebungsverfahren, Synopse, Baden-Baden 2017 (zit.: Albrecht/Jotzo Datenschutzrecht/Bearbeiter). Borges, Georg/Hilber, Marc (Hrsg.): Beck’scher Online-Kommentar – IT-Recht, 5. Ed., München 2022 (zit. BeckOK IT-Recht/Bearbeiter). Brink, Stefan/Wolff, Heinrich Amadeus (Hrsg.): Beck’scher Online-Kommentar – Datenschutzrecht, 39. Ed., München 2021 (zit. BeckOK DatenSR Gesetz/Bearbeiter). Brink, Stefan/Wolff, Heinrich Amadeus (Hrsg.): Beck’scher Online-Kommentar – Datenschutzrecht, 23. Ed., München 2018 (zit. BeckOK DatenSR Gesetz (23. Ed.)/ Bearbeiter). Bar, Christian von: Grundregeln des Europäischen Vertragsrechts – Teile I und II, München 2002 (zit.: Grundregeln/Bearbeiter). Basedow, Jürgen/Hopt, Klaus J./Zimmermann, Reinhard/Illmer, Martin (Hrsg.): Handwörterbuch des Europäischen Privatrechts, Tübingen 2011 (zit.: Handwörterbuch/Bearbeiter). Becker, Maximilian/Becker, Felix: Die neue Google-Datenschutzerklärung und das Nutzer-Metaprofil – Vereinbarkeit mit nationalen und gemeinschaftsrechtlichen Vorgaben, Multimedia und Recht Zeitschrift für Informations-, Telekommunikations- und Medienrecht 2012, S. 351. Bleckat, Alexander: Die Auslegung des Schadensbegriffs in Art. 82 DS-GVO, Recht der Datenverarbeitung 2020, S. 11 ff. Brink, Stefan/Eckhard, Jens: Wann ist ein Datum ein personenbezogenes Datum? – Anwendungsbereich des Datenschutzrechts, Zeitschrift für Datenschutz 2015, S. 205. Buchner, Benedikt: Grundsätze und Rechtmäßigkeit der Datenverarbeitung unter der DS-GVO, Datenschutz und Datensicherheit 2016, 155 ff. Bull, Hans Peter: Sinn und Unsinn des Datenschutzes – Persönlichkeitsrecht und Kommunikationsfreiheit in der digitalen Gesellschaft, Tübingen 2015 (zit.: Sinn und Unsinn/Bull). Calliess, Christian/Ruffert, Matthias (Hrsg.): EUV/AEUV – Das Verfassungsrecht der Europäischen Union mit Europäischer Grundrechtecharta: Kommentar, 5. Aufl., München 2016 (zit.: Callies/Ruffert/Bearbeiter).

242 Literaturverzeichnis Dammann, Ulrich: Erfolge und Defizite der EU-Datenschutzgrundverordnung – Erwarteter Fortschritt, Schwächen und überraschende Innovationen, Zeitschrift für Datenschutz 2016, S. 307 ff. Dammann, Ulrich/Simitis, Spiros (Hrsg.): EG-Datenschutzrichtlinie – Kommentar, Baden-Baden 1997 (zit.: Dammann/Simitis DSRL/Bearbeiter). Deuster, Lisa: Automatisierte Entscheidungen nach der Datenschutz-Grundverordnung, Privacy in Germany 2016, S. 75. Drexl, Josef: Designing Competitive Markets for Industrial Data – Between Propertisation and Access, Max Planck Institute for Inovation and Competition Research Paper Series. 16–13, 2016, https://papers.ssrn.com/sol3/papers.cfm?abstract_id= 2862975 (zuletzt geprüft am 13.05.2022). Ehmann, Eugen/Helfrich, Marcus: EG-Datenschutzrichtlinie – Kurzkommentar, Köln 1999 (zit.: Ehmann/Helfrich DSRL/Bearbeiter). Ehmann, Eugen/Selmayr, Martin (Hrsg.): DS-GVO – Datenschutz-Grundverordnung: Kommentar, 2. Aufl., München/Wien 2018 (zit.: Ehmann/Selmayr DS-GVO/Bearbeiter). Eifert, Martin/Hoffmann-Riem, Wolfgang: Innovation, Recht und öffentliche Kommunikation, Berlin 2011 (zit.: Innovation, Recht und öffentliche Kommunikation/ Bearbeiter). Ernst, Stefan: Die Einwilligung nach der Datenschutzgrundverordnung – Anmerkung zur Definition nach Art. 4 Nr. 11 DS-GVO, Zeitschrift für Datenschutz 2017, 110 ff. Eschholz, Stefanie: Big Data-Scoring unter dem Einfluss der Datenschutz-Grundverordnung, Datenschutz und Datensicherheit 2017, 180 ff. Ettig, Diana/Rauer, Nils: Rechtskonformer Einsatz von Cookies – Aktuelle Entwicklungen, Zeitschrift für Datenschutz 2015, S. 255. Europäische Kommission: Commission Staff Working Document on the free flow of data and emerging issues of the European data economy, COM (2017) 9 final, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52017SC0002 (zuletzt geprüft am 13.05.2022). Europäischer Datenschutzausschuss (ehem. Art.  29-Datenschutzgruppe): Opinion 2/2010 on online behavioural advertising – Adopted on 22 June 2010. WP 171, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/ files/2010/wp171_en.pdf (zuletzt geprüft am 13.05.2022). Europäischer Datenschutzausschuss (ehem. Art.  29-Datenschutzgruppe): Opinion 03/2013 on purpose limitation – Adopted on 2 April 2013. WP 203, https:// ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/ wp203_en.pdf (zuletzt geprüft am 13.05.2022). Europäischer Datenschutzausschuss (ehem. Art.  29-Datenschutzgruppe): Opinion 4/2007 on the concept of personal data – Adopted on 20th June. WP 136, https:// ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/ wp136_en.pdf (zuletzt geprüft am 13.05.2022).

Literaturverzeichnis243 Europäischer Datenschutzausschuss (ehem. Art.  29-Datenschutzgruppe): Opinion 04/2012 on Cookie Consent Exemption – Adopted on 7 June 2012. WP 194, ­https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/ files/2012/wp194_en.pdf (zuletzt geprüft am 13.05.2022). Europäischer Datenschutzausschuss (ehem. Art.  29-Datenschutzgruppe): Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC – Adopted on 9 April 2014. WP 217, https://ec.europa.eu/ justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en. pdf (zuletzt geprüft am 13.05.2022). Europäischer Datenschutzausschuss (ehem. Art.  29-Datenschutzgruppe): Opinion 9/2014 on the application of Directive 2002/58/EC to device fingerprinting – Adopted on 25 November 2014. WP 224, https://ec.europa.eu/justice/article-29/ documentation/opinion-recommendation/files/2014/wp224_en.pdf (zuletzt geprüft am 13.05.2022). Forgó, Nikolaus/Helfrich, Marcus/Schneider, Jochen/Arning, Marian (Hrsg.): Betrieblicher Datenschutz – Rechtshandbuch, 2. Aufl., München 2017 (zit.: Forgó/ Helfrich/Schneider (2. Aufl.)/Bearbeiter). Forgó, Nikolaus/Helfrich, Marcus/Schneider, Jochen/Arning, Marian (Hrsg.): Betrieblicher Datenschutz – Rechtshandbuch, 3. Aufl., München 2019 (zit.: Forgó/ Helfrich/Schneider/Bearbeiter). Geiger, Rudolf/Khan, Daniel-Erasmus/Kotzur, Markus: EUV/AEUV – Vertrag über die Europäische Union und Vertrag über die Arbeitsweise der Europäischen ­Union; Kommentar, 6. Aufl., München 2017 (zit.: Geiger/Khan/Kotzur/Bearbeiter). Gola, Peter/Eichler, Carolyn/Franck, Lorenz/Klug, Christoph (Hrsg.): DatenschutzGrundverordnung – VO (EU) 2016/679: Kommentar, 2. Aufl., München 2018 (zit.: Gola DS-GVO/Bearbeiter). Grabitz, Eberhard/Hilf, Meinhard/Nettesheim, Martin (Hrsg.): Das Recht der Euro­ päischen Union – Band I EUV/AEUV, 75. EL., München 2022. Grafenstein, Maximilian von: Das Zweckbindungsprinzip zwischen Innovationsoffenheit und Rechtssicherheit – Zur mangelnden Differenzierung der Rechtsgüterbetroffenheit in der Datenschutzgrund-VO, Datenschutz und Datensicherheit 2015, 789 ff. Groeben, Hans von der/Schwarze, Jürgen/Hatje, Armin: Europäisches Unionsrecht – Vertrag über die Europäische Union – Vertrag über die Arbeitsweise der Europäischen Union – Charta der Grundrechte der Europäischen Union, 7. Aufl., BadenBaden 2015 (zit.: Groeben/Schwarze/Hatje/Bearbeiter). Härting, Niko: Zweckbindung und Zweckänderung im Datenschutzrecht, Neue Juristische Wochenschrift 2015, S. 3284 ff. Härting, Niko: Big Data und Profiling nach der DSGVO, IT-Rechts-Berater 2016, S. 209. Härting, Niko/Gössling, Patrick/Dimov, Vitorio: „Berechtigte Interessen“ nach der DSGVO, IT-Rechts-Berater 2017, S. 169. Heiderhoff, Bettina: Europäisches Privatrecht, 5. Aufl., Heidelberg 2020.

244 Literaturverzeichnis Honsell, Heinrich: Die rhetorischen Wurzeln der juristischen Auslegung, Zeitschrift für das gesamte Privatrecht 2016, S. 106. Jandt, Silke/Laue, Philip: Voraussetzungen und Grenzen der Profilbildung bei Location Based Services, Kommunikation & Recht 2006, S. 316 ff. Karg, Moritz: Die Rechtsfigur des personenbezogenen Datums – Ein Anachronismus des Datenschutzes?, Zeitschrift für Datenschutz 2012, S. 255 ff. Koch, Frank A.: Big Data und der Schutz der Daten – Über die Unvereinbarkeit des deutschen und europäischen Datenschutzrechts mit Big Data, IT-Rechts-Berater 2015, S.  13 ff. Korch, Stefan: Schadensersatz für Datenschutzverstöße – Verfassungsrechtliche Notbremsung einer Fehlentwicklung, Neue Juristische Wochenschrift 2021, S. 978. Krohm, Niclas/Müller-Peltzer, Philipp: Auswirkungen des Kopplungverbots auf die Praxistauglichkeit der Einwilligung – Das Aus für das Modell „Service gegen Daten“?, Zeitschrift für Datenschutz 2017, S. 551 ff. Krüger, Stefan/Maucher, Svenja-Ariane: Ist die IP-Adresse wirklich ein personenbezogenes Datum? Ein falscher Trend mit großen Auswirkungen auf die Praxis, Multimedia und Recht Zeitschrift für Informations-, Telekommunikations- und Medienrecht 2011. Kugelmann, Dieter: Datenfinanzierte Internetangebote, Datenschutz und Datensicherheit 2016, 566 ff. Kühling, Jürgen/Buchner, Benedikt (Hrsg.): Datenschutz-Grundverordnung/BDSG – Kommentar, 3. Aufl., München 2020 (zit.: Kühling/Buchner DS-GVO/Bearbeiter). Laue, Philip/Kremer, Sascha: Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Aufl., Baden-Baden 2019 (zit.: Laue/Kremer Datenschutzrecht/Bearbeiter). Lewinski, Kai von/Pohl, Dirk: Auskunfteien nach der europäischen Datenschutzreform – Brüche und Kontinuitäten der Rechtslage, Zeitschrift für Datenschutz 2018, S.  17 ff. Marnau, Ninja: Anonymisierung, Pseudonymisierung und Transparenz für Big Data, Datenschutz und Datensicherheit 2016, 428 ff. Meyerdierks, Per: Sind IP-Adressen personenbezogene Daten?, Multimedia und Recht Zeitschrift für Informations-, Telekommunikations- und Medienrecht 2009, S. 8. Monreal, Manfred: Weiterverarbeitung nach einer Zweckänderung in der DS-GVO – Chancen nicht nur für das europäische Verständnis des Zweckbindungsgrundsatzes, Zeitschrift für Datenschutz 2016, S. 507 ff. Moos, Flemming/Rothkegel, Tobias: Nutzung von Scoring-Diensten im Online-Versandhandel – Scoring-Verfahren im Spannungsfeld von BDSG, AGG und DSGVO, Zeitschrift für Datenschutz 2016, S. 561. Müller-Broich, Jan D. (Hrsg.): Telemediengesetz, Baden-Baden 2012 (zit. MüllerBroich TMG/Bearbeiter). Ott, Stephan: Schutz der Nutzerdaten bei Suchmaschinen – Oder: Ich weiß was du letzten Sommer gesucht hast …, Multimedia und Recht Zeitschrift für Informations-, Telekommunikations- und Medienrecht 2009, S. 448 ff.

Literaturverzeichnis245 Paal, Boris P.: Schadensersatzansprüche bei Datenschutzverstößen – Voraussetzungen und Probleme des Art. 82 DS-GVO, MMR 2020, S. 14 ff. Paal, Boris P./Pauly, Daniel A. (Hrsg.): Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 3. Aufl., München 2021 (zit.: Paal/Pauly Gesetz/Bearbeiter). Pollmann, Maren/Kipker, Dennis-Kenji: Informierte Einwilligung in der Online-Welt, Datenschutz und Datensicherheit 2016, 378 ff. Richter, Philipp: Datenschutz zwecklos? – Das Prinzip der Zweckbindung im Ratsentwurf der DSGVO, Datenschutz und Datensicherheit 2015, 735 ff. Richter, Philipp: Big Data, Statistik und die Datenschutz-Grundverordnung, Datenschutz und Datensicherheit 2016, 581 ff. Riehm, Thomas: Abwägungsentscheidungen in der praktischen Rechtsanwendung – Argumentation, Beweis, Wertung, München 2006 (zit.: Abwägungsentscheidungen/Riehm). Riesenhuber, Karl (Hrsg.): Europäische Methodenlehre – Handbuch für Ausbildung und Praxis, 4. Aufl., Berlin 2021 (zit.: Europäische Methodenlehre/Bearbeiter). Röhl, Klaus F./Röhl, Hans Christian: Allgemeine Rechtslehre – Ein Lehrbuch, 3. Aufl., Köln 2008 (zit.: Allgemeine Rechtslehre/Bearbeiter). Roßnagel, Alexander: Big Data – Small Privacy? Konzeptionelle Herausforderungen für das Datenschutzrecht, Zeitschrift für Datenschutz 2013, S. 562 ff. Roßnagel, Alexander/Nebel, Maxi/Richter, Philipp: Was bleibt vom Europäischen Datenschutzrecht? – Überlegungen zum Ratsentwurf der DS-GVO, Zeitschrift für Datenschutz 2015, S. 455 ff. Schantz, Peter: Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht, Neue Juristische Wochenschrift 2016, S. 1841 ff. Schantz, Peter/Wolff, Heinrich Amadeus: Das neue Datenschutzrecht – DatenschutzGrundverordnung und Bundesdatenschutzgesetz in der Praxis, München 2017 (zit.: Schantz/Wolff Datenschutzrecht). Schubert, Claudia (Red.): Münchener Kommentar zum Bürgerlichen Gesetzbuch, 9. Aufl., München 2021 (zit.: MüKo BGB/Bearbeiter). Schulze, Reiner/Zoll, Fryderyk: Europäisches Vertragsrecht, 3. Aufl., Baden-Baden 2021. Schwenke, Matthias Christoph: Individualisierung und Datenschutz, Wiesbaden 2006. Simanowski, Roberto: Data Love, Berlin 2014. Simitis, Spiros/Dammann, Ulrich/Arendt, Anne (Hrsg.): Bundesdatenschutzgesetz, 8. Aufl., Baden-Baden 2014 (zit.: Simitis BDSG/Bearbeiter). Simitis, Spiros/Hornung, Gerrit/Spiecker gen. Döhmann, Indra (Hrsg.): Datenschutzrecht – DSGVO mit BDSG, Baden-Baden 2019 (zit.: NK DS-GVO/Bearbeiter). Spickhoff, Andreas: Persönlichkeitsverletzungen im Internet – Internationale Zuständigkeit und Kollisionsrecht, Praxis des Internationalen Privat- und Verfahrensrechts 2011, S. 131 ff.

246 Literaturverzeichnis Spindler, Gerald: Datenschutz- und Persönlichkeitsrechte im Internet – Der Rahmen für Forschungsaufgaben und Reformbedarf, GRUR-Beilage 2014, S. 101 ff. Spindler, Gerald/Schuster, Fabian/Döpkens, Harm-Randolf (Hrsg.): Recht der elek­ tronischen Medien – Kommentar, 4. Aufl., München/München 2019 (zit.: Spindler/Schuster Gesetz/Bearbeiter). Streinz, Rudolf/Kruis, Tobias (Hrsg.): EUV/AEUV – Vertrag über die Europäische Union und Vertrag über die Arbeitsweise der Europäischen Union Charte der Grundrechte der Europäischen Union, 3. Aufl., München/München 2018 (zit. ­Streinz Gesetz/Bearbeiter). Sydow, Gernot/Ennöckl, Daniel/Greve, Holger/Helfrich, Marcus (Hrsg.): Europäische Datenschutzgrundverordnung – Handkommentar, 2. Aufl., Baden-Baden 2018 (zit.: Sydow DS-GVO/Bearbeiter). Taeger, Jürgen: Scoring in Deutschland nach der EU-Datenschutzgrundverordnung, Zeitschrift für Rechtspolitik 2016, S. 72 ff. Taeger, Jürgen: Verbot des Profiling nach Art. 22 DS-GVO und die Regulierung des Scoring ab Mai 2018, Recht der Datenverarbeitung 2017, S. 3 ff. Taeger, Jürgen/Gabel, Detlev (Hrsg.): DSGVO – BDSG – Kommentar, 4. Aufl., Frankfurt am Main 2022 (zit.: Taeger/Gabel Gesetz/Bearbeiter). Tavanti, Pascal: Datenverarbeitung zu Werbezwecken nach der Datenschutz-Grundverordnung (Teil 1), Recht der Datenverarbeitung 2016, S. 231 ff. Uecker, Philip: Die Einwilligung im Datenschutzrecht und ihre Alternativen – Mög­ liche Lösungen für Unternehmen und Vereine, Zeitschrift für Datenschutz 2019, S.  248 ff. Voigt, Paul: Datenschutz bei Google, Multimedia und Recht Zeitschrift für Informations-, Telekommunikations- und Medienrecht 2009, S. 377 ff. Weichert, Thilo: Big Data und Datenschutz – Chancen und Risiken einer neuen Form der Datenanalyse, Zeitschrift für Datenschutz 2013, S. 251 ff. Weichert, Thilo: EU-US-Privacy-Shield – Ist der transatlantische Datentransfer nun grundrechtskonform? – Eine erste Bestandsaufnahme, Zeitschrift für Datenschutz 2016, S.  209 ff. Wendlandt, Bettina: Die Timesharing-Richtlinie, das BGB und die Privatautonomie – „realistisch betrachtet“, Verbraucher und Recht 2004, S. 117 ff. Wybitul, Tim: DS-GVO veröffentlicht – Was sind die neuen Anforderungen an die Unternehmen?, Zeitschrift für Datenschutz 2016, S. 253 ff. Wybitul, Tim (Hrsg.): Handbuch EU-Datenschutz-Grundverordnung, Frankfurt am Main 2017(zit.: Wybitul DS-GVO/Bearbeiter). Xamit Bewertungsgesellschaft mbH: Webstatistiken im Test – Welcher Dienst ist in Deutschland legal?, 2011, http://www.xamit-leistungen.de/downloadfiles/XamitStudieWebstatistikenimTest.pdf. Xamit Bewertungsgesellschaft mbH: Xamit Datenschutzbarometer 2015 – Datenschutz vor neuen Aufgaben, 2015, http://www.xamit-leistungen.de/downloads/ XamitDatenschutzbarometer2015.pdf.

Literaturverzeichnis247 Ziegenhorn, Gero/Heckel, Katharina von: Datenverarbeitung durch Private nach der europäischen Datenschutzreform – Auswirkungen der Datenschutz-Grundverordnung auf die materielle Rechtmäßigkeit der Verarbeitung personenbezogener Daten, Neue Zeitschrift für Verwaltungsrecht 2016, S. 1585 ff. Zuboff, Shoshana: The age of surveillance capitalism – The fight for the future at the new frontier of power, London 2019 (zit.: Surveillance Capitalism/Zuboff).