Umgang mit Kundenprofilen

Die niedersächsische Datenschutzbeauftragte Barbara Thiel hat Ende
Juli ein praxisrelevantes Verfahren rund um die Auswertung,
Anreicherung und Weitergabe von Kundendaten abgeschlossen. 900.000
Euro Bußgeld soll die Hannoversche Volksbank bezahlen, weil sie
ohne Einwilligung das Nutzungsverhalten von Kunden analysiert haben
und dazu einen Dienstleister herangezogen haben soll. Die
Ergebnisse der Analyse hat die Bank laut Aufsichtsbehörde mit Daten
einer Wirtschaftsauskunftei abgeglichen und mit Zusatzinformationen
angereichert. Ziel sei gewesen, für bestimmte Werbeformen
empfängliche Kunden herauszufiltern. Dieses Verfahren ist für den
c't-Datenschutz-Podcast Anlass, einmal einen Blick auf den Umgang
mit Kundendaten- und Profilen im Datenschutz zu werfen. Holger und
Joerg haben für die Episode 68 deshalb David Pfau eingeladen. David
ist "Head of Data & Privacy" bei der conreri digital
development GmbH. Der Wirtschaftspsychologe gilt als ausgewiesener
Datenschutzexperte und berät Unternehmen der Medien- und
Digitalbranche. Zunächst besprechen die drei, wie und wo
Profilbildung in der DSGVO definiert ist und welche Rechtsgründe es
dafür geben kann. Unweigerlich landet man da beim recht
unbestimmten "berechtigten Interesse" des Verantwortlichen, also
dem Art. 6. Abs. 1 lit f DSGVO, der von Unternehmen regelmäßig
herangezogen wird, um der individuellen Einwilligung jedes Kunden
zu entgehen. Doch auch das "berechtigte Interesse" rechtfertigt
nicht jede Verarbeitung von Kundendaten, wie David betont. Einem
freizügigen Umgang mit Kundendaten steht auch die Zweckbindung
entgegen, die in Art. 5 DSGVO festgeschrieben ist. David empfiehlt
Unternehmen, sich schon bei der Erhebung von Informationen genau
mit dem beabsichtigten Zweck auseinanderzusetzen und ihn möglichst
weit zu fassen. Insbesondere, wenn Kundendaten später angereichert
oder zum Profiling genutzt werden sollen, wird schnell die Grenze
des rechtlich Zulässigen erreicht, die David ausführlich erläutert.