Die niedersĂ€chsische Datenschutzbeauftragte Barbara Thiel hat Ende Juli ein praxisrelevantes Verfahren rund um die Auswertung, Anreicherung und Weitergabe von Kundendaten abgeschlossen. 900.000 Euro BuĂgeld soll die Hannoversche Volksbank bezahlen, weil sie ohne Einwilligung das Nutzungsverhalten von Kunden analysiert haben und dazu einen Dienstleister herangezogen haben soll. Die Ergebnisse der Analyse hat die Bank laut Aufsichtsbehörde mit Daten einer Wirtschaftsauskunftei abgeglichen und mit Zusatzinformationen angereichert. Ziel sei gewesen, fĂŒr bestimmte Werbeformen empfĂ€ngliche Kunden herauszufiltern.
Dieses Verfahren ist fĂŒr den c't-Datenschutz-Podcast Anlass, einmal einen Blick auf den Umgang mit Kundendaten- und Profilen im Datenschutz zu werfen. Holger und Joerg haben fĂŒr die Episode 68 deshalb David Pfau eingeladen. David ist "Head of Data & Privacy" bei der conreri digital development GmbH. Der Wirtschaftspsychologe gilt als ausgewiesener Datenschutzexperte und berĂ€t Unternehmen der Medien- und Digitalbranche.
ZunĂ€chst besprechen die drei, wie und wo Profilbildung in der DSGVO definiert ist und welche RechtsgrĂŒnde es dafĂŒr geben kann. Unweigerlich landet man da beim recht unbestimmten "berechtigten Interesse" des Verantwortlichen, also dem Art. 6. Abs. 1 lit f DSGVO, der von Unternehmen regelmĂ€Ăig herangezogen wird, um der individuellen Einwilligung jedes Kunden zu entgehen. Doch auch das "berechtigte Interesse" rechtfertigt nicht jede Verarbeitung von Kundendaten, wie David betont.
Einem freizĂŒgigen Umgang mit Kundendaten steht auch die Zweckbindung entgegen, die in Art. 5 DSGVO festgeschrieben ist. David empfiehlt Unternehmen, sich schon bei der Erhebung von Informationen genau mit dem beabsichtigten Zweck auseinanderzusetzen und ihn möglichst weit zu fassen. Insbesondere, wenn Kundendaten spĂ€ter angereichert oder zum Profiling genutzt werden sollen, wird schnell die Grenze des rechtlich ZulĂ€ssigen erreicht, die David ausfĂŒhrlich erlĂ€utert.