Dürfen insbesondere externe Daten hinzugezogen/abgeglichen und dürfen Datensätze verschmolzen werden, wenn sie von ein und demselben Kunden stammen? Daten zu Kunden entstehen an unterschiedlichen Stellen und für verschiedene Einsatzzwecke. Im Zusammenhang mit “Big Data” ist es in der Tat ein Unterschied, ob bereits ein Daten-Pool vorhanden ist, dessen Daten ausgewertet werden sollen, oder ein solcher erst noch erstellt werden soll. Wenn der Daten-Pool nicht ausschließlich anonyme Daten enthält, so ist für jeden Einzelfall gesondert sowohl zu fragen, ob eine datenschutzrechtliche Rechtfertigung für die Nutzung als auch eine datenschutzrechtliche Rechtfertigung für eine etwaige vorgelagerte Zusammenführung von Daten aus verschiedenen Quellen vorliegt.
Dabei sind insbesondere folgende Punkte zu beachten:
– Generell gelten die Grundsätze der Zweckbindung und Datentrennung, d.h. die Daten dürfen jeweils nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Verschiedene Datensätze müssen dementsprechend auch grundsätzlich unabhängig voneinander verwaltet werden. Eine Zusammenführung ist nur aufgrund einer separaten datenschutzrechtlichen Legitimation (entweder Einwilligung oder gesetzliche Rechtfertigung, siehe auch hier zu Beitrag 2) zulässig. Die gewerbliche Nutzung – z.B. um die Daten des Kaufprofils im Shop im Newsletter zu verwenden – ist dabei meistens nur nach Einwilligung des Empfängers zulässig (siehe auch hier zu Frage 2).
– Die Einwilligung muss nicht separat erfolgen, sondern kann Teil der Datennutzungserklärung im Rahmen der Newsletter-Anmeldung oder des Shop-Registrierungsprozesses sein, solange die Einwilligung diesbezüglich klar und verständlich ist. Wenn der Betroffene so z.B. bei der Anmeldung im
Shop die Datennutzungserklärung akzeptiert, berechtigt er den Anbieter auch zum Zusammenführen von Daten.
– Gleiches gilt für die Anreicherung mit externen Daten – z.B. zur Aktualisierung von postalischen Anschriften oder Bonitätsdaten sowie zur Anreicherung von E-Mail-Adressen um die darüber genutzten Social Networks, sofern diese Informationen nicht allgemein verfügbar sind.
– Ohne Einwilligung zulässig ist aber die Zusammenführung von listenmäßig gespeicherten Daten mit im Internet frei verfügbaren Informationen für Zwecke der Werbung für eigene Angebote des Online Shop Anbieters als datenschutzrechtlich verantwortlicher Stelle.
Dabei sind insbesondere folgende Punkte zu beachten:
– Generell gelten die Grundsätze der Zweckbindung und Datentrennung, d.h. die Daten dürfen jeweils nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Verschiedene Datensätze müssen dementsprechend auch grundsätzlich unabhängig voneinander verwaltet werden. Eine Zusammenführung ist nur aufgrund einer separaten datenschutzrechtlichen Legitimation (entweder Einwilligung oder gesetzliche Rechtfertigung, siehe auch hier zu Beitrag 2) zulässig. Die gewerbliche Nutzung – z.B. um die Daten des Kaufprofils im Shop im Newsletter zu verwenden – ist dabei meistens nur nach Einwilligung des Empfängers zulässig (siehe auch hier zu Frage 2).
– Die Einwilligung muss nicht separat erfolgen, sondern kann Teil der Datennutzungserklärung im Rahmen der Newsletter-Anmeldung oder des Shop-Registrierungsprozesses sein, solange die Einwilligung diesbezüglich klar und verständlich ist. Wenn der Betroffene so z.B. bei der Anmeldung im
Shop die Datennutzungserklärung akzeptiert, berechtigt er den Anbieter auch zum Zusammenführen von Daten.
– Gleiches gilt für die Anreicherung mit externen Daten – z.B. zur Aktualisierung von postalischen Anschriften oder Bonitätsdaten sowie zur Anreicherung von E-Mail-Adressen um die darüber genutzten Social Networks, sofern diese Informationen nicht allgemein verfügbar sind.
– Ohne Einwilligung zulässig ist aber die Zusammenführung von listenmäßig gespeicherten Daten mit im Internet frei verfügbaren Informationen für Zwecke der Werbung für eigene Angebote des Online Shop Anbieters als datenschutzrechtlich verantwortlicher Stelle.
Kostenlose Checkliste zu Rechtsfragen im Big Data Umfeld
Dieser Beitrag ist ein Auszug aus der Checkliste 23 Fragen zu Big Data und Recht von artegic und Bird&Bird. Die Checkliste hilft Unternehmen dabei, rechtliche Fallstricke im Umgang mit Big Data zu vermeiden. Hier geht es zum kostenlosen Download: https://www.elaine.io/big-data-und-recht