Beim Erstellen von Nutzerprofilen ist grundsätzlich danach zu unterscheiden, ob es sich um personenbezogene Daten handelt oder nicht (siehe auch hier) und ob der Betroffene zugestimmt hat oder nicht: Die deutschen und europäischen Regelungen sind insoweit nicht eindeutig. Im Wesentlichen werden in der juristischen Literatur, von den Datenschutzbehörden und den Gerichten drei verschiedene Ansätze vertreten.
Zulässig ist die Verwendung nicht-personenbezogener Daten ohne Einwilligung des Betroffenen dann, wenn die Daten anonymisiert sind. Nach den Anforderungen des Bundesdatenschutzgesetzes liegen anonymisierte Daten vor, wenn man die entsprechendenEinzelangaben nicht mehr bzw. nur noch mit einem unverhältnismäßig hohen Aufwand einem bestimmten Betroffenen zuordnen kann. Soweit Einzelangaben einem Betroffenen nicht mehr zugeordnet werden können (sog. „echte“ Anonymisierung), können diese Daten ohne Einschränkung für die Verwendung von Webanalysen genutzt werden und insbesondere auch an Dritte übermittelt werden (im Einzelnen zu den Anforderungen an Anonymisierung, siehe auch hier). Da ein Wiedererkennen des Betroffenen hier ausgeschlossen ist, bedarf es bei der Erstellung von Nutzerprofilen mittels anonymisierter Daten auch keiner Einwilligung des Betroffenen.

Ohne Einwilligung nur mit Pseudonymisierung

Ohne Einwilligung des Betroffenen dürfen personenbezogene Daten für die Erstellung von Nutzungsprofilen nach den Vorgaben des Telemediengesetzes nur verwendet werden, wenn die Daten pseudonymisiert werden. Unter Pseudonymisieren versteht man das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen (sog. Pseudonym), um die Bestimmung des Betroffenen entweder auszuschließen oder wesentlich zu erschweren. Dabei ist es generell untersagt, die pseudonymisierten Nutzungsprofile mit dem Träger des Pseudonyms zusammenzuführen.
Zudem muss der Betroffene über die Profilbildung unterrichtet werden und über sein Widerspruchsrecht („opt-out“) aufgeklärt werden. Macht der Betroffene von seinem Widerspruchsrecht Gebrauch, ist die Erstellung eines solchen Nutzungsprofils unzulässig.
Bei der Erstellung des Profils dürfen alle Nutzungsdaten (nicht aber die Bestandsdaten) verwendet werden. Die Möglichkeit der Profilerstellung ist aber insoweit eingeschränkt, als diese nur zum Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung des Telemediums erfolgen darf. Die Profilerstellung für andere Zwecke ist ohne Zustimmung des Betroffenen ausgeschlossen.

Zustimmung bei personengenauer Erhebung notwendig

Sobald verhaltensbezogene Daten jedoch personengenau erhoben werden, ist eine explizite und separate Zustimmung erforderlich. Als personenbezogene Verhaltensdaten gelten alle Daten, die Nutzungsdaten mit einer konkreten E-Mail Adresse verknüpfen, z.B. Klickdaten, Conversions oder Aktivitäten auf einer verlinkten Seite.
Wichtig ist ebenfalls die je nach Zustimmung differenzierte Erhebung und Verarbeitung. Für Betroffene, die nicht zugestimmt haben, dürfen Verhaltensdaten, wie z.B. der letzte Klick, nicht erfasst oder verarbeitet werden.
Nutzungsprofile dürfen grundsätzlich unabhängig von den o.g. Voraussetzungen erstellt werden, wenn und soweit der Betroffene wirksam (d.h. freiwillig auf Basis einer verständlichen und konkreten Einwilligungserklärung) eingewilligt hat. Der Grundsatz der Datensparsamkeit und Datenvermeidung ist zu beachten, d.h., dass nur so viele verhaltensbezogene Daten gesammelt werden sollten, wie unbedingt benötigt werden.
Für „Big Data“ bedeutet das Vorgesagte insbesondere, dass die im Pool enthaltenen Daten einzeln daraufhin zu überprüfen sind, welche Art der Daten vorliegt und ob im Einzelfall eine dementsprechende datenschutzrechtliche Rechtfertigung gegeben ist. Pauschal lässt sich das nicht beantworten.

Kostenloses Webinar zu Rechtsfragen im Big Data Umfeld

Dieser Beitrag ist ein Auszug aus der Checkliste 23 Fragen zu Big Data und Recht von artegic und Bird&Bird. Die Checkliste hilft Unternehmen dabei, rechtliche Fallstricke im Umgang mit Big Data zu vermeiden. Am 05. März um 14 Uhr zeigen artegic und Bird&Bird ausserdem im Rahmen eines halbstündigen Webinars, wie sich Big Data im Marketing datenschutzkonform und rechtssicher einsetzen lässt. Hier geht es zur unverbindlichen Anmeldung: https://www.elaine.io/webinar-big-data-und-recht