Durch die stetig steigende Nutzung sozialer Netzwerke, wie z.B. Facebook, Twitter oder LinkedIN, aber auch durch immer weitergehende Veröffentlichungen, z.B. über Zeitungsartikel oder Bewertungsportale, sind immer mehr personenbezogene Daten öffentlich verfügbar. Aus der Sicht von Unternehmen, aber auch der von Behörden, ist es naheliegend, zur Umsetzung der eigenen Zwecke diese „öffentlichen“ Datensammlungen zu nutzen.
Persönlichkeitsprofil und Bußgeldbescheid
So ist es bereits gängige Praxis, aus öffentlich zugänglich Daten Persönlichkeitsprofile zu erstellen, um etwa Backgroundchecks von potentiellen Bewerbern durchzuführen. Aber für Unternehmen ist auch die Nutzung solcher Daten zur Umsetzung von Werbemaßnahmen relevant. Anderseits nutzen auch bspw. Verkehrsbehörden soziale Netzwerke, um z.B. geblitzte Person wegen einer Geschwindigkeitsübertretung zu identifizieren.
Was sind öffentlich zugängliche Daten im Sinne des Datenschutzrechts?
Von Daten aus frei zugänglichen Quellen wird gesprochen, wenn diese einem nicht nach bestimmten Merkmalen festgelegten Adressatenkreis frei zugänglich sind. Dies können Daten aus Veröffentlichungen, öffentlich zugänglichen Register oder solchen Angaben, die über das Internet frei abrufbar sind, sein. Bei Daten, die etwa aus sozialen Netzwerken stammen, wird im Hinblick auf deren Nutzbarkeit vor allem dann eine Grenze zu ziehen sein, wenn innerhalb des betreffenden Netzwerks der Zugriff, etwa auf die eigenen Kontakte, auf einen bestimmten Nutzerkreis beschränkt ist. Andererseits wird man bei sozialen Netzwerken, die zur Darstellung der beruflichen Qualifikation und/oder zum Knüpfen neuer geschäftlicher Kontakte, wie etwa XING oder LinkedIN, davon ausgehen sein, dass hier eine entsprechende Außenwirkung gerade erzeugt werden soll.
Wann dürfen öffentlich zugängliche Daten genutzt werden?
Um personenbezogenen Daten aus frei zugänglichen Quellen zu verarbeiten, z.B. zur Neukundengewinnung oder auch im Rahmen von Bewerbungsverfahren, ist es erforderlich, dass eine entsprechende Rechtsgrundlage hierfür gegeben ist. Gemäß Datenschutzgrundverordnung (DSGVO) kommt hier eigentlich allein das sog. berechtigte Interesse gemäß Art. 6 I lit. f DSGVO in Betracht.
Interessenabwägung notwendig
Für die Verarbeitung frei zugänglicher Daten führt dies dazu, dass bei dieser Rechtsgrundlage immer vorab eine Interessenabwägung vorgenommen werden muss. Diese findet in drei Schritten statt:
1. Schritt: Festzustellen ist das Vorliegen eines berechtigten Interesses, anerkannt z.B. für Direktwerbung oder Betrugsprävention (, z.B. durch eine Bonitätsprüfung; Maßnahmen wie die Einrichtung von unternehmensinternen Warndateien zur Vorbeugung der Geldwäsche; Datenübermittlung an Branchenwarndienste z.B. im Spielbankgeschäft);
2. Schritt: Die Datenverarbeitung muss zur Wahrung dieses berechtigten Interesses (1. Schritt) erforderlich sein;
3. Schritt: Abwägung zwischen den Interessen des Verantwortlichen, also der Stelle, welche die Datenverarbeitung für sich vornehmen will, und den Grundrechten und Grundfreiheiten der betroffenen Person im konkreten Einzelfall; d.h. es dürfen keine entgegenstehenden Interessen der Betroffenen vorhanden sein.
Für die Interessenabwägung im 3. Schritt ist dabei vor allem relevant, womit die betroffene Person vernünftigerweise rechnen kann. Allein der Umstand, dass personenbezogene Daten aus öffentlich zugänglichen Quellen stammen, stellt für sich alleine genommen noch keine Annahmen hierfür dar. Möglich ist nämlich, dass die Daten der betroffenen Person in deren Unkenntnis oder sogar gegen ihren Willen veröffentlicht wurden. Insofern müssen noch weitere Anhaltspunkte hinzutreten. Stammen die Daten aus geschützten Foren, die allein einem bestimmten ausgewählten Personenkreis zugänglich gemacht werden sollen, spricht dies für die Interessen der betroffenen Person. Sind die Daten anderseits von der betroffenen Person selber für jedermann zugänglich gemacht worden, z.B. über ein soziales Netzwerk, spricht dies eher für eine geringere Schutzbedürftigkeit und für eine Verwendbarkeit.
Wie sieht die Rechtslagen beim sogenannten SCRAPING aus?
Unter dem Begriff Scraping wird die Nutzung öffentlich zugänglicher Daten verstanden, die bspw. aus sozialen Netzwerken, Portalen (z.B. Immobilienportale) oder andere Quellen, wie Websites automatisiert gesammelt, kategorisiert und Dritten zur Verfügung gestellt werden. Es findet hierbei eine umfangreiche Extraktion solcher Daten aus den betroffenen Webpräsenzen statt, die neben der erforderlichen datenschutzrechtlichen Konformität, auch den Vorgaben, z.B. der Betreiber sozialer Netzwerke entsprechen müssen. Die Nutzungsbedingungen von Facebook sehen beispielsweise folgendes unter der Ziffer 2 vor:
„Du darfst (ohne unsere vorherige Zustimmung) nicht mittels automatisierter Methoden auf Daten unserer Produkte zugreifen, solche Daten erheben oder versuchen, auf Daten zuzugreifen, für die du keine Zugriffsberechtigung hast.“
Beim Einsatz solcher Methoden wie dem Scraping, sind dabei auch immer die Nutzungsbedingungen für die API-Schnittstellen o.ä. zu berücksichtigen.
Informationsplicht gemäß Art 14 DSGVO
Unabhängig davon, wie die öffentlich zugänglichen Daten genutzt werden oder woher sie stammen, treffen denjenigen, der die Daten verarbeitet neben der Interessenabwägung die Pflicht zur Information der betroffenen Personen. Werden die Daten nicht unmittelbar beim Betroffenen erhoben, ist dieser innerhalb eines Monats nach Erlangung der Daten mitunter über die Verarbeitungszwecke, die Rechtsgrundlage und die Datenquelle sowie seine Betroffenenrechte zu informieren.
Ausnahme zur Informationspflicht
Von dieser Informationspflicht kann nur abgesehen werden, wenn der Betroffener bereits über diese Information verfügt, eine Information unmöglich wäre oder einen unverhältnismäßig hohen Aufwand bedeuten würde oder eine ausdrückliche Regelung (Gesetz) dies gestatten würde. In der Konsequenz würde dies bedeuten, je mehr personenbezogene Daten verarbeitet und je mehr Personen davon betroffen sind, desto eher könnte man sich auf eine Unverhältnismäßigkeit zur Informationspflicht gegenüber den Betroffenen berufen. Dabei sollte in jedem Fall berücksichtigt werden, was die jeweils zuständige Datenschutzaufsichtsbehörde noch als verhältnismäßigen Aufwand in einem solchen Zusammenhang ansieht.
Möchte sich ein Unternehmen auf das Vorliegen einer Ausnahme berufen, dass also die Bereitstellung der Informationen mit einem unverhältnismäßigen Aufwand verbunden wäre, sollte hierzu vorab eine Abwägung vorgenommen werden. Dabei wäre der für das Unternehmen entstehende Aufwand, die betroffenen Person zu informieren, gegenüber den Auswirkungen und Folgen für die betroffene Person, wenn diese nicht informiert würden, zu Grunde zu legen.
Bußgeld von 220.000 Euro wegen fehlender Information gemäß Art 14 DSGVO
Z.B. hatte die polnische Datenschutzaufsichtsbehörde UODO (Urzad Ochrony Danych Osobowych) gegen ein Unternehmen ein Bußgeld in Höhe von 943.000, – Złoty (ungefähr. 220.000€) verhängt, das gesammelte personenbezogene Daten in einer eigenen Datenbank erfasst und für kommerzielle Zwecke zu verwendet hatte (https://uodo.gov.pl/en/553/1009). Das Unternehmen hatte dabei nicht jede betroffene Person darüber informiert, da z.T. nur die Telefonnummer oder die postalische Anschrift bekannt gewesen war. Gemäß UODO erfüllte das Unternehmen die Informationspflicht im Hinblick auf mehr als 6 Millionen Menschen nicht. Zudem hatten von rund 90.000 Personen, die über die Datenverarbeitung informiert worden waren, mehr als 12.000 Einwände gegen die Verarbeitung ihrer Daten erhoben. Das betroffene Unternehmen hatte zwar auf der eigenen Webseite darüber informiert, dies sei jedoch nicht ausreichend, so jedenfalls die UODO. Die Behörde ging davon aus, dass es dem Unternehmen zumutbar gewesen sei, die Personen, von denen keine E-Mail-Adresse, sondern nur Telefon und/oder postalische Anschrift vorhanden war, eben per Post und Telefon zu informieren. Dies stelle auch keinesfalls eine unmögliche Tätigkeit oder ein unverhältnismäßiger Aufwand da. Das Unternehmen mache schließlich mit den gesammelten, öffentlichen personenbezogenen Jahren seit Jahren Gewinne. Auch könne das Unternehmen den Informationspflichten durch kurze Werbespots vor den Hauptnachrichten nachkommen.
Ob sich die Auffassung der polnische Datenschutzaufsichtsbehörde durchsetzen wird, bleibt abzuwarten. Ggf. wird hierzu auch der Europäische Gerichtshof früher oder später eine Klarstellung herbeiführen.