eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z.B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht“. Als ein berechtigtes Interesse des Verantwortlichen wird vom Verordnungsgeber auch die Verarbeitung personenbezogener Daten angesehen, soweit sie zur Verhinderung von Betrug unbedingt erforderlich ist. So kann von einem berechtigten Interesse ausgegangen werden, wenn eine Kreditkartenorganisation Zahlungsprofile erstellt, um Missbräuche zu verhindern oder Denial of Service-Attacken zu erkennen und abzuwehren.218
130
Von erheblicher praktischer Bedeutung ist, dass in ErwG 47 die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung219 und des Online-Marketings220 als eine dem berechtigten Interesse dienende Verarbeitung betrachtet wird. Die betroffene Person kann dem wie jeder auf den Buchstaben f gestützten Verarbeitung mit einem bedingungslosen Widerspruchsrecht nach Art. 21 Abs. 1 Satz 1 DSGVO entgegentreten (siehe Rn. 152). Als berechtigtes Interesse werden neben der Direktwerbung neuer Kunden auch die Vorsorge für Rückrufaktionen,221 die Feststellung der Bonität von (potenziellen) Kunden,222 die gem. § 25a KWG obligatorische Risikoanalyse einer Bank durch die Muttergesellschaft,223 Marktanalysen oder ganz allgemein die Förderung der Belange der verantwortlichen Stelle angegeben, soweit es sich um ein von der Rechtsordnung gebilligtes Interesse handelt.224
131
Für eine Interessenabwägung ist nach Ansicht der Datenschutzkonferenz aber von vornherein kein Raum, wenn „automatisierte Selektionsverfahren zur Erstellung detaillierter Profile, Verhaltensprognosen bzw. Analysen, die zu zusätzlichen Erkenntnissen führen“ für Direktmaßnahmen verwendet werden.225 Bei einem Profiling und einer automatisierten Einzelentscheidung setzt auch Art. 22 DSGVO Grenzen. Weil ausdrücklich auch die berechtigten Interessen Dritter adressiert werden, kann in der Regel auch die Übermittlung von Kundendaten an Adresshändler auf den Buchstaben f gestützt werden. Wie stets bei der Berufung auf den Buchstaben f sind die Interessen der betroffenen Person bei der Abwägung zu berücksichtigen. Diese könnte ein überwiegendes Interesse daran haben, dass ihre Adresse mit der Information, sie sei Kunde eines bestimmten Anbieters, nicht an Dritte weitergegeben wird.
132
Ob das Webtracking, mit dem das Verhalten von betroffenen Personen im Internet analysiert und Nutzerprofile erstellt werden,226 zu einer nach Buchstabe f erlaubten Verarbeitung gehört, ist umstritten, weil es schon keineswegs nachgewiesen ist, dass die betroffenen Personen „aufgrund der bisherigen Praxis mit Tracking-Maßnahmen beim Besuch von Webseiten“ rechnet,227 und weil es trotz Cookie-Banner an der erforderlichen Nähe der betroffenen Person und an der erforderlichen Transparenz fehlt. Im Übrigen findet Online-Tracking nicht nur über Cookies statt, sondern auch über Canvas-Fingerprinting, das Cross-Device Tracking oder durch Sound Beacons.228 Das Argument, dass Webtracking nur die Vorstufe des erlaubten Direktmarketings sei (Erst-Recht-Schluss), geht fehl, weil beim Webtracking erst Daten aus dem Verhalten der betroffenen Person personalisiert generiert werden müssen.229 Soweit ein Tracking nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO zulässig wäre, könnte ein Widerspruch nach Art. 21 Abs. 1 Satz 1 DSGVO gemäß Abs. 5 auch automatisiert geltend gemacht werden („do not track“-Einstellung im Browser, siehe Art. 95 Rn. 15).
133
Das personenidentifizierende Tracking ist deshalb nur aufgrund einer Einwilligung nach § 25 Abs. 1 TTDSG zulässig (siehe § 25 TTDSG Rn. 24).230 Mit dem Inkrafttreten des TTDSG folgt die Zulässigkeit des Setzens von technisch nicht erforderlichen Cookies oder anderen Tracking-Verfahren nicht mehr aus § 15 Abs. 3 Satz 1 TMG, sondern aus § 22 TTDSG. Die Anforderungen an die Wirksamkeit einer Einwilligung ergeben sich aus der DSGVO.231
134
Das Interesse eines Unternehmens, die Daten von Kunden etwa mittels Kundenkarten zu erheben und zu speichern, um zu einem späteren Zeitpunkt gezielt Auswertungen zur Feststellung von Kundeninteressen vornehmen zu können, deren Ergebnisse für eine personalisierte Kundenansprache verwendet werden können (Customer Relationship Management/CRM), kann als berechtigtes Interesse anerkannt werden.232 Deshalb scheitert die Zulässigkeit des Aufbaus eines Data Warehouse mit Methoden des Data Mining nach beliebigen Kriterien frei auswertbaren personenbezogenen Kundendaten jedenfalls nicht an dem fehlenden Interesse des Verantwortlichen. Erst bei der Abwägung wird dann zu prüfen sein, ob Interessen von Betroffenen einem CRM überwiegen könnten.
135
Die Zulässigkeit der Videoüberwachung im öffentlichen Raum durch nichtöffentliche Stellen ist trotz einer nationalen speziellen Regulierung in § 4 BDSG nur nach einer Abwägung gem. Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO zulässig, weil § 4 BDSG als eine nicht europarechtskonforme Vorschrift eingestuft wird.233 Vor der Installation einer Videoüberwachungsanlage, die auch den öffentlichen Raum überwacht, und somit nicht aufgrund einer Haushaltsausnahme nach Art. 2 Abs. 2 lit. c DSGVO zulässig ist, muss daher eine Abwägung nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO vorgenommen werden, wobei das berechtigte Interesse des Verantwortlichen substanziiert vorzutragen und zu belegen ist.234 Dabei können die Kriterien herangezogen werden, die dem § 4 BDSG zugrunde liegen.235
136
Soweit bei einer Videoüberwachung Merkmale erfasst werden, die auf eine bestimmte ethnische oder religiöse Zuordnung schließen lassen, ist eine Zulässigkeitsprüfung nach Art. 9 DSGVO (besondere Arten personenbezogener Daten) nur dann erforderlich, wenn eine diesbezügliche Auswertung der Videoaufnahmen beabsichtigt ist.236 Die Gesichtserkennung zur Identifizierung oder Authentifizierung wäre eine solche Auswertung biometrischer Daten, also einer besonderen Kategorie personenbezogener Daten.237 Auch die Zulässigkeit von Videoüberwachungsanlagen in Bundesligastadien,238 die kontinuierlichen Aufnahmen durch eine Dash Cam239 sowie die Installation von Wildkameras240 sind nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO zu prüfen.
137
Weil es weiterhin kein „Konzernprivileg“ gibt,241 bedarf es für die Übermittlung zwischen konzernverbundenen Unternehmen nach wie vor einer datenschutzrechtlichen Erlaubnis, die sich aus Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO ergeben kann. ErwG 48 erkennt an, dass „Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind, ... ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln“. Damit liefert die DSGVO ein starkes Argument dafür, dass jedenfalls bei der Übermittlung personenbezogener Daten zwischen den Mitgliedern einer Unternehmensgruppe ein starkes berechtigtes Interesse anerkannt wird. Auch wenn in der DSGVO das Interesse bereits als berechtigt anerkannt ist und dieses bei der Abwägung besonders zu berücksichtigen ist, so ist dieses berechtigte Interesse noch nicht in der Weise zwingend, dass eine Abwägung gänzlich obsolet wird. Auch vor einer konzerninternen Weitergabe von Daten sind Interessen von Beschäftigten, Kunden und sonstigen Dritten zu berücksichtigen.242 Ergänzende Schutzmaßnahmen wie Pseudonymisierung oder vertragliche Vereinbarungen von Schutzmaßnahmen und ergänzender Zweckbindungsabreden können das Abwägungsergebnis zugunsten des Verantwortlichen beeinflussen.243
138
Wenn die Gewährleistung der Netz- und Informationssicherheit es gebietet, ist die hierfür notwendige und verhältnismäßige Verarbeitung personenbezogener Daten ebenfalls ein berechtigtes Interesse (ErwG 49), „soweit dadurch die Fähigkeit eines Netzes oder Informationssystems gewährleistet wird, mit einem vorgegebenen Grad der Zuverlässigkeit Störungen oder widerrechtliche oder mutwillige Eingriffe abzuwehren, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von gespeicherten oder übermittelten personenbezogenen Daten sowie die Sicherheit damit zusammenhängender Dienste, die über diese Netze oder Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen“.
f) Erforderlichkeit